眼看两阶段认证还有各科技厂与服务,针对不明位置与装置的活动的侦测机制越来越完善。透过钓鱼的方式来窃取邮件帐号读取相关内容的监控方式,也越来越难为。然而,路不转人(骇客)转。最近有资安业者抓到疑似为北韩支援的骇客组织 SharpTongue / Kimsuky 所开发的一个仍处於相当初期阶段的恶意程式,透过安装通常感觉较为无害的浏览器扩充程式/附加元件/外挂程式的方式,藉此在不登入受害者帐号的状态下监控甚至窃取信件与副档内容。
因为没有登入的警告,所以这样的方式才更容易让人在不知情的状况下,「被搬运」了敏感的资讯(惊,但我信箱都垃圾信诶)。继续阅读新的 Gmail 监控方式不再执着盗帐号,改为透过 Chrome / Edge 浏览器扩充程式来「搬运」你的信报导内文。
▲图片来源:ArsTechnica
新的 Gmail 监控方式不再执着盗帐号,改为透过 Chrome / Edge 浏览器扩充程式来「搬运」你的信
虽然大家会想说,那我就不要去随便乱装以 Chromium 为基础开发的浏览器的扩充功能就好啦。不过「这套」恶意程式的手法其实相当聪明。基本上你可能会因为上网或收信不小心开启某些文件而触发这个名为「SHARPEXT」的恶意程式。
它也不会让你有任何的感觉,或该说,它就是希望你还有电子邮件的服务商都完全不会察觉 – 後者之所以可以绕过其实很简单,因为你已经正常的在浏览器登入了服务。目前被 SHARPEXT 列为目标的 Gmail 及 AOL 邮件服务,自然管不着正在使用浏览器观看信件的你看了些什麽。
SHARPEXT 在安装了浏览器的扩充程式之後,同时也会透过替换浏览器的设定档案与额外的执行脚本等方式来监控你的浏览器。这其中涉及的技术其实相当繁琐缜密,其中当它替换设定档案之後其实 Chromium 系列的浏览器本身是有反制机制 – 会提醒使用者,开发者相关的设定已经被开启之类的讯息,询问是否要关闭。
然而 SHARPEXT 也会尝试取得规避这些机制的资讯,进而让使用者无法察觉看到这些警告视窗。也因为这些机制其实也相当复杂,所以资安公司 Volexity 才能在骇客组织完善之前抓到这种窃取资料的途径。
专家指出,虽然「目前」SHARPEXT 还只有锁定 Windows 版本的 Chrome、Edge 还有同样也是基於 Chromium 所开发的 Whale 浏览器为监控目标。而且目前来讲应该主要是监控美国、欧洲与南韩针对核弹武器系统等战略相关的议题来窃取信件内容与附件档案的资料。不过要知道,他们判断目前 SHARPEXT 其实仍处於相当早期 Bug 尚多的阶段(才会被抓包嘛)。
至於骇客组织是否会将监控关键字的范围扩大,又或者转向其他浏览器等目标虽然是未知。但至少专家认为 SHARPEXT 也没理由不能对应包括 macOS 或 Linux 上的浏览器开发。目前为止,除了小心不要打开来路不明文件或安装档之外,Volexity 也提供了可以侦测 SHARPEXT 相关活动的机制,也可以先阻挡回传资讯的目的地。详细关於 SHARPEXT 的资讯,请参考 Volexity 的网站有详细说明。
延伸阅读:
高尔宣分享以 iPhone 13 Pro Max 挑战水下拍摄的《Somebody Else》新曲幕後故事(访谈)
