Северокорейские хакеры использовали скрытое расширение для браузера, чтобы отслеживать электронные письма

Всегда полезно защитить свои онлайн-аккаунты надежным паролем и двухфакторной аутентификацией , но даже это может не остановить новую вредоносную программу, обнаруженную охранной фирмой Volexity. По данным исследовательской группы компании по угрозам, Северная Корея просматривает конфиденциальные электронные письма с помощью умного (но очень вредоносного) расширения браузера Chrome, получившего название «SHARPEXT». Вы, вероятно, не настолько важны, чтобы стать мишенью для этой вредоносной программы , и это хорошо — Северная Корея занимается этим уже год, прежде чем кто-либо это заметит.

Volexity сообщает, что SHARPEXT нацелен на организации в США, Европе и Южной Корее, которые работают над ядерным и обычным оружием, а также в других областях, представляющих интерес для разведывательного аппарата Северной Кореи. Исследователи приписали вредоносное ПО хакерской группе, которую она называет SharpTongue, которая, по-видимому, в значительной степени пересекается с группой, известной публично как Kimsuky. Как и многие спонсируемые государством хакерские группы, SharpTongue разработала специальный инструмент для очень специфического использования.

В отличие от многих вредоносных программ, SHARPEXT не пытается украсть пароли; вместо этого он использует статус входа в систему браузера, чтобы незаметно отслеживать электронные письма. Все браузеры линейки Chromium имеют меры безопасности, предупреждающие пользователей об изменениях настроек, а также расширения, работающие в режиме разработчика. У SHARPEXT есть обходные пути, чтобы оставаться незамеченным. После установки он изменяет несколько файлов, чтобы заставить браузер думать, что его настройки остались нетронутыми. Расширение должно работать в режиме разработчика для запуска пользовательского кода и сценариев, поэтому SHARPEXT постоянно скрывает окно предупреждения, которое в противном случае предупреждало бы пользователей о том, что режим разработчика активен.

Новости Volexity SharpTongue SHARPEXT
SHARPEXT был обнаружен в нескольких различных браузерах на основе Chromium, включая Google Chrome, Microsoft Edge и Naver Whale (браузер, используемый почти исключительно в Южной Корее). После настройки в поддерживаемом браузере вредоносное ПО может отслеживать вкладки, пока не увидит электронную почту Gmail или AOL. Поскольку браузер авторизован, злоумышленники имеют доступ к данным цели, не беспокоясь о паролях и двухфакторных кодах. С включенными инструментами разработки расширение может копировать электронные письма и вложения в удаленное место, что позволяет вредоносному ПО собирать тысячи электронных писем от целей.

Очевидно, что SHARPEXT — это не та вредоносная программа, на которую вы, скорее всего, наткнетесь, роясь в Интернете, — это узконаправленный инструмент для сбора разведывательной информации. Volexity говорит, что наблюдала за тем, как за последний год SHARPEXT развивался, превращаясь из незрелого и глючного в сложный и успешный инструмент наблюдения. Volexity предлагает всем, кто беспокоится о том, что SharpTongue может стать их мишенью, следует проверить свои расширения, чтобы убедиться, что все они не модифицированы и установлены из официальных источников.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал