Північнокорейські кібершпигуни використовують розширення Google Chrome для крадіжки листів

Шкідливе розширення, виявлене Volexity ще у вересні минулого року, отримало назву SHARPEXT. Воно дозволяє зловмисникам красти листи з електронної пошти Google та AOL , а також підтримує три браузери на Chromium: Chrome , Edge та південнокорейський Naver Whale.

SHARPTEXT встановлюється після злому системи жертви за допомогою кастомного VSB-скрипту, що замінює файли 'Preferences' та 'Secure Preferences' на файли, завантажені з C&C-сервера зловмисників. Як тільки ці файли будуть завантажені на пристрій, браузер жертви завантажить та встановить шкідливе розширення.

За словами фахівців Volexity, SHARPTEXT безпосередньо перевіряє та витягує дані з поштового акаунта жертви, коли вона переглядає вхідні листи. Системи безпеки поштових сервісів не можуть виявити атаки, оскільки розширення використовує активну сесію користувача.

Крім того, SHARPTEXT постійно розвивається та оновлюється, його поточна версія – 3.0.

Експерти Volexity відзначили, що кампанія з використанням SHARPTEXT дуже схожа на попередні атаки Kimsuky , спрямовані на діячів зовнішньої політики та інших осіб, які «являють стратегічний інтерес» у США, Європі та Південній Кореї.