Специалисты по информационной безопасности из компании Volexity обнаружили киберпреступную деятельность хакерской группировки Kimsuky (северокорейская APT-группа), которая применяет зловредное расширение для браузеров для кражи электронных писем пользователей Chrome и Edge, сообщает Bleeping Computer.
Эксперты из Volexity назвали это вредоносное расширение SHARPEXT. Киберпреступная кампания такого типа была замечена ещё в сентябре 2021 года. Она развернута в трёх браузерах, работающих на основе Chromium (Whale, Microsoft Edge, Google Chrome). Вредонос имеет возможность красть содержимое писем пользователей с почтовых сервисов Gmail и AOL.
Киберпреступники после компрометации системы инсталлируют зловредное расширение на пользовательское устройство с использованием сценария VBS, меняя файлы Preferences и Secure Preferences файлами, скачанными с сервера злоумышленников. После получения новых файлов настроек на пользовательское устройство браузер автоматически скачивает и устанавливает расширение SHARPEXT.
«Вредонос осуществляет проверку и извлечение данных из учетной записи почтового клиента пользователя в тот момент, когда человек просматривает письма. С момента первого обнаружения расширение SHARPEXT активно развивается. На сегодняшний день имеет версию 3.0, которая основана на внутренней системе управления версиями», – отметили в компании Volexity.
В Volexity подчеркивают, что в рамках этой киберпреступной кампании кибератака остаётся незамеченной для провайдера электронной почты жертвы, потому что вредонос использует уже зарегистрированный сеанс цели для кражи электронной почты. Это делает процессы обнаружения крайне сложными, если не невозможными.
Помимо этого, функционирование расширения не будет вызывать каких-либо предупреждений о подозрительной активности в учетных записях жертв, что гарантирует, что вредоносная активность не будет выявлена за счет проверки предупреждений на странице состояния учетной записи онлайн-почты.
Ранее в «Лаборатории Касперского» предупредили о вредоносном ПО, которое остается на устройстве пользователя даже после переустановки Windows.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.
