Северокорейские кибершпионы используют расширение Google Chrome для кражи писем

SHARPTEXT Volexity Chrome Edge Naver Whale КНДР Южная Корея США Европа Kimsuky
По мнению специалистов, за вредоносным расширением стоит группировка Kimsuky.

Северокорейские кибершпионы используют расширение Google Chrome для кражи писем

Вредоносное расширение, обнаруженное Volexity еще в сентябре прошлого года, получило название SHARPEXT. Оно позволяет злоумышленникам красть письма из электронной почты Google и AOL , а также поддерживает три браузера на Chromium: Chrome , Edge и южнокорейский Naver Whale.
SHARPTEXT устанавливается после взлома системы жертвы с помощью кастомного VSB-скрипта, заменяющего файлы ‘Preferences’ и ‘Secure Preferences’ на файлы, загруженные с C&C-сервера злоумышленников. Как только эти файлы будут скачаны на устройство, браузер жертвы загрузит и установит вредоносное расширение.

Схема, изображающая работу SHARPTEXT
По словам специалистов Volexity, SHARPTEXT напрямую проверяет и извлекает данные из почтового аккаунта жертвы, когда она просматривает входящие письма. Системы безопасности почтовых сервисов не могут обнаружить атаку, поскольку расширение использует активную сессию пользователя.
Кроме того, SHARPTEXT постоянно развивается и обновляется, его текущая версия – 3.0.
Эксперты Volexity отметили, что кампания с использованием SHARPTEXT очень похожа на предыдущие атаки Kimsuky , направленные на деятелей внешней политики и других лиц, «представляющих стратегический интерес» в США, Европе и Южной Корее.

SECURITYLAB.RU

Добавить комментарий

Ваш адрес email не будет опубликован.