Севернокорејска хакерска група позната како Kimsuky користи досега невиден малициозен софтвер за читање и преземање е-пошта и прилози од сметките на Gmail и AOL на заразените корисници.
Злонамерниот софтвер што истражувачите на Volexity го нарекоа SHARPEXT е во форма на екстензија за веб-прелистувачите Google Chrome и Microsoft Edge. Услугите за е-пошта воопшто не можат да ја откријат оваа екстензија.
Малициозен софтвер се користи „повеќе од една година“, рече Volexity и е дело на хакерска група која компанијата ја следи како SharpTongue. Групата е спонзорирана од севернокорејската влада и е истата група што другите истражувачи ја следат како Kimsuky.
SHARPEXT се користи во напади врз цели од светот на политиката, нуклеарниот сектор и други организации и поединци од стратешки интерес во САД, Европа и Јужна Кореја, кои Северна Кореја ги смета за важни за нејзината национална безбедност.
Напаѓачите инсталираат злонамерна екстензија откако ќе го загрозат системот со измама на жртвата да отвори злонамерен документ. Оваа верзија на малициозниот софтвер работи само на Windows, но Volexity смета дека нема причина неговото поле на дејствување да не се прошири на прелистувачите што работат на macOS и Linux.
Доказите собрани од Volexity покажуваат дека хакерите успеале да украдат илјадници е-пошта од повеќе жртви користејќи го овој малициозен софтвер.
Напаѓачите ја инсталираат екстензијата користејќи VBS скрипта и ги заменуваат датотеките „Preferences“ и „Secure Preferences“ со фајлови преземени од серверот за команди и контрола на малициозен софтвер.
Кога новите датотеки со поставки се преземаат на заразениот уред, веб-прелистувачот автоматски ја вчитува наставката. Злонамерниот софтвер проверува и извлекува податоци од сметката за е-пошта на жртвата додека жртвата ја прегледува.
Напаѓачите го користат фактот што жртвата е најавена на сметката, што го прави откривањето на малициозен софтвер многу предизвикувачки ако не и невозможно. Исто така, самата екстензија нема да активира предупредувања за сомнителни активности на сметките на жртвите, така што злонамерната активност не може да се открие со проверка на статусната страница на сметката на веб-поштата.
Повеќе детали за ова можете да најдете на блогот Volexity.