ForceCopy Stealer: The Sneaky Threat Targeting Web Browser Data

Ett nytt verktyg i en notorisk hackargrupps Arsenal

Cybersäkerhetsexperter har avslöjat ett sofistikerat cyberhot känt som forceCopy Stealer, ett informationsinsamlingsverktyg som används i riktade attacker. Den här stjälaren är kopplad till Kimsuky , en väldokumenterad hackergrupp som tros vara knuten till Nordkoreas underrättelsetjänster. Nya rapporter tyder på att Kimsuky har utnyttjat nätfisketekniker för att distribuera forceCopy Stealer, med fokus på att skaffa känslig användardata lagrad i webbläsare.

Hur angripare distribuerar forceCopy Stealer

Leveransmetoden för forceCopy Stealer kretsar kring vilseledande e-postmeddelanden som är utformade för att verka legitima. Dessa e-postmeddelanden innehåller vanligtvis en bilaga som maskerar sig som ett Microsoft Office- eller PDF-dokument, som i verkligheten är en Windows-genvägsfil (LNK). När mottagaren öppnar filen aktiverar den skadliga skript via PowerShell eller Microsofts mshta.exe – båda är legitima systemverktyg som ofta utnyttjas för obehöriga ändamål.

Efter exekvering av dessa skript hämtas ytterligare nyttolaster från en extern källa. Angriparna distribuerar sedan andra verktyg vid sidan av forceCopy Stealer, inklusive en välkänd trojan som heter PEBBLEDASH och en modifierad version av ett fjärrskrivbordsverktyg med öppen källkod som heter RDP Wrapper. Dessa komponenter arbetar tillsammans för att etablera långsiktig tillgång till komprometterade system.

Kärnfunktionen i forceCopy Stealer

Kärnan är forceCopy Stealer designad för att extrahera data från specifika platser som är associerade med webbläsare. Det primära målet verkar vara webbläsarkonfigurationsfiler, som kan innehålla lagrade inloggningsuppgifter. Genom att fokusera på dessa kataloger kringgår verktyget vissa säkerhetsrestriktioner som skyddar mot konventionella tekniker för stöld av autentiseringsuppgifter. Eftersom webbläsare ofta lagrar lösenord och annan känslig information för användarens bekvämlighet, kan en angripare med tillgång till dessa filer potentiellt hämta inloggningsuppgifter för olika onlinetjänster.

Implikationer av forceCopy Stealers aktiviteter

Utplaceringen av forceCopy Stealer väcker oro över de bredare konsekvenserna för cybersäkerhet. Den stulna webbläsardatan kan utnyttjas på flera sätt, inklusive obehörig åtkomst till konton, identitetsbedrägerier eller ytterligare riktade attacker. Dessutom, eftersom stjälaren används tillsammans med andra skadliga verktyg som keyloggers och proxybaserade kommunikationssystem, kan drabbade individer eller organisationer utsättas för långsiktiga säkerhetsrisker.

En anmärkningsvärd förändring i Kimsukys taktik är användningen av verktyg som RDP Wrapper och proxy skadlig kod, som gör det möjligt för angripare att upprätthålla beständig åtkomst till komprometterade maskiner. Detta representerar en utveckling av deras metoder, som går bort från tidigare använda bakdörrar till förmån för ett mer modulärt och adaptivt tillvägagångssätt.

Ett ihållande och utvecklande hot

Kimsuky, även känd under alias som APT43 och Emerald Sleet, har varit aktiv i över ett decennium. De använder ofta social ingenjörsteknik för att kringgå säkerhetsåtgärder. Deras förmåga att skräddarsy nätfiskekampanjer och utnyttja legitima verktyg för skadliga syften har gjort dem till ett bestående hot i cybersäkerhetslandskapet.

De senaste resultaten tyder på att gruppen fortsätter att förfina sina metoder, med forceCopy Stealer som det senaste tillskottet till dess arsenal. Tonvikten på webbläsardatastöld visar på ett pågående intresse för referenser, potentiellt för spionage eller ekonomisk vinning. Denna utveckling understryker behovet för användare att vara vaksamma mot nätfiskeförsök och obehörig dataåtkomst.

Stärka försvaret mot webbläsardatastöld

Med tanke på den växande användningen av webbläsarbaserad autentiseringslagring är det viktigt att implementera skyddsåtgärder mot hot som forceCopy Stealer. Användare bör vara försiktiga när de hanterar e-postbilagor, särskilt de från okända källor. Organisationer bör förstärka e-postsäkerhetsprotokoll och övervaka misstänkta aktiviteter som kan tyda på obehöriga försök till fjärråtkomst.

Genom att förstå hur forceCopy Stealer fungerar och taktiken som används av grupper som Kimsuky, kan alla vidta proaktiva åtgärder för att skydda sina digitala tillgångar och minska risken för sådana cyberhot.