Хакерска група од Северна Кореја позната како Kimsuky користи досега невиден малициозен софтвер за читање и преземање е-пошта и прилози од профилите на Gmail и AOL на заразените корисници.
Злонамерниот софтвер, наречен SHARPEXT од истражувачите на Volexity, е во форма на екстензија за веб-прелистувачите Google Chrome и Microsoft Edge. Сервисите воопшто не можат да ја откријат оваа екстензија.
Малверот се користи „повеќе од една година“, велат од Volexity и е дело на хакерска група која компанијата ја следи како SharpTongue. Групата е спонзорирана од севернокорејската влада и е истата група што другите истражувачи ја следат како Kimsuky.
SHARPEXT се користи во напади врз цели во светот на политиката, нуклеарниот сектор и други организации и поединци од стратешки интерес во САД, Европа и Јужна Кореја, кои Северна Кореја ги смета за важни за нејзината национална безбедност.
Напаѓачите инсталираат злонамерна екстензија откако ќе го загрозат системот со измама на жртвата да отвори злонамерен документ. Оваа верзија на малициозниот софтвер работи само на Windows, но Volexity верува дека нема причина неговото поле на дејствување да не се прошири на прелистувачите што работат на macOS и Linux.
Доказите собрани од Volexity покажуваат дека хакерите биле во можност да украдат илјадници мејлови од повеќе жртви користејќи го овој малициозен софтвер.
Напаѓачите ја инсталираат екстензијата користејќи VBS скрипта и ги заменуваат фајловите „Preferences“ и „Secure Preferences“ со фајлови преземени од серверот за команди и контрола на малициозен софтвер.
Кога новите фајлови со поставки се преземаат на заразениот уред, веб-прелистувачот автоматски ја вчитува наставката. Злонамерниот софтвер проверува и извлекува податоци од сметката за е-пошта на жртвата додека жртвата ја гледа.
Напаѓачите го користат фактот што жртвата е најавена на профилот, што го прави откривањето на малициозниот софтвер многу тешко, ако не и невозможно. Исто така, самата екстензија нема да активира предупредувања за сомнителни активности на профилите на жртвите, така што злонамерната активност не може да се открие со проверка на статусната страница на сметката на веб-пошта.
Повеќе детали за ова можете да најдете на блогот Volexity.