Поддерживаемая Северной Кореей группа угроз, отслеживаемая как Kimsuky, крадет электронные письма пользователей Google Chrome или Microsoft Edge, просматривающих их учетные записи веб-почты с помощью вредоносного расширения браузера.
Расширение, названное SHARPEXT исследователями Volexity, которые заметили эту кампанию в сентябре, поддерживает три веб-браузера на основе Chromium (Chrome, Edge и Whale) и может красть почту из учетных записей Gmail и AOL.
Злоумышленники устанавливают вредоносное расширение после компрометации системы цели с помощью пользовательского сценария VBS, заменяя файлы «Preferences» и «Secure Preferences» файлами, загруженными с управляющего сервера вредоносного ПО.
Как только новые файлы настроек загружаются на зараженное устройство, веб-браузер автоматически загружает расширение SHARPEXT.
«Вредоносная программа напрямую проверяет и извлекает данные из учетной записи веб-почты жертвы, когда они ее просматривают», — заявила в четверг компания Volexity.
«С момента открытия расширение развивалось и в настоящее время имеет версию 3.0, основанную на внутренней системе управления версиями».
Как сегодня сообщила Volexity, эта последняя кампания совпадает с предыдущими атаками Kimsuky, поскольку она также использует SHARPEXT «для целенаправленных атак на внешнеполитических, ядерных и других лиц, представляющих стратегический интерес».