Северокорейские кибершпионы используют расширение Google Chrome для кражи писем

Северокорейские кибершпионы используют расширение Google Chrome для кражи писем

По мнению специалистов, за вредоносным расширением стоит группировка Kimsuky.

Вредоносное расширение, обнаруженное Volexity еще в сентябре прошлого года, получило название SHARPEXT. Оно позволяет злоумышленникам красть письма из электронной почты Google и AOL , а также поддерживает три браузера на Chromium: Chrome , Edge и южнокорейский Naver Whale.

SHARPTEXT устанавливается после взлома системы жертвы с помощью кастомного VSB-скрипта, заменяющего файлы 'Preferences' и 'Secure Preferences' на файлы, загруженные с C&C-сервера злоумышленников. Как только эти файлы будут скачаны на устройство, браузер жертвы загрузит и установит вредоносное расширение.

Схема, изображающая работу SHARPTEXT

По словам специалистов Volexity, SHARPTEXT напрямую проверяет и извлекает данные из почтового аккаунта жертвы, когда она просматривает входящие письма. Системы безопасности почтовых сервисов не могут обнаружить атаку, поскольку расширение использует активную сессию пользователя.

Кроме того, SHARPTEXT постоянно развивается и обновляется, его текущая версия – 3.0.

Эксперты Volexity отметили, что кампания с использованием SHARPTEXT очень похожа на предыдущие атаки Kimsuky , направленные на деятелей внешней политики и других лиц, «представляющих стратегический интерес» в США, Европе и Южной Корее.

Мы нашли признаки жизни...в вашем смартфоне!

Наш канал — питательная среда для вашего интеллекта

Эволюционируйте вместе с нами — подпишитесь!