Северокорейские кибершпионы используют расширение Google Chrome для кражи писем
По мнению специалистов, за вредоносным расширением стоит группировка Kimsuky.
Вредоносное расширение, обнаруженное Volexity еще в сентябре прошлого года, получило название SHARPEXT. Оно позволяет злоумышленникам красть письма из электронной почты Google и AOL , а также поддерживает три браузера на Chromium: Chrome , Edge и южнокорейский Naver Whale.
SHARPTEXT устанавливается после взлома системы жертвы с помощью кастомного VSB-скрипта, заменяющего файлы 'Preferences' и 'Secure Preferences' на файлы, загруженные с C&C-сервера злоумышленников. Как только эти файлы будут скачаны на устройство, браузер жертвы загрузит и установит вредоносное расширение.
Схема, изображающая работу SHARPTEXT
По словам специалистов Volexity, SHARPTEXT напрямую проверяет и извлекает данные из почтового аккаунта жертвы, когда она просматривает входящие письма. Системы безопасности почтовых сервисов не могут обнаружить атаку, поскольку расширение использует активную сессию пользователя.
Кроме того, SHARPTEXT постоянно развивается и обновляется, его текущая версия – 3.0.
Эксперты Volexity отметили, что кампания с использованием SHARPTEXT очень похожа на предыдущие атаки Kimsuky , направленные на деятелей внешней политики и других лиц, «представляющих стратегический интерес» в США, Европе и Южной Корее.
Устали от того, что Интернет знает о вас все?