Degli hacker usano un’estensione di Chrome per rubarvi le mail
Un gruppo di hacker di origine nord-coreana, noto come Kimsuky o SharpTongue, ha condotto una campagna mirata a rubare e-mail da account Gmail e AOL tramite un’estensione per browser chiamata SHARPEXT.
Questa è la scoperta dei ricercatori di Volexity, secondo cui, a settembre 2021, il gruppo avrebbe implementato questa estensione compatibile con i browser web basati su Chromium, come Chrome, Edge e Whale, tramite uno script VBS personalizzato. Dopo aver compromesso un sistema bersaglio, lo script consente di sostituire i file relativi alle preferenze (sia standard che in modalità protetta) con file scaricati dal server 2C a cui si collega il malware.
.@Volexity details browser extension malware #SHARPEXT used by #SharpTongue, a North Korean #apt. The mail-theft malware is deployed in targeted attacks on foreign policy, nuclear and other individuals of strategic interest. More here: https://t.co/jTj6RWToIO
#dfir #threatintel— Volexity (@Volexity) July 28, 2022
Una volta scaricati i file delle preferenze compromessi, il browser carica automaticamente l’estensione SHARPEXT, che analizza ed esfiltra dati automaticamente dall’account webmail mentre viene consultato dalla vittima.
Come condiviso da Volexity su Twitter, la campagna sarebbe stata mirata in base a criteri ben precisi, connessi a temi come la politica estera, il nucleare, nonché ad altri soggetti di natura strategica, in USA, Europa e Corea del Sud, in linea con le campagne precedentemente condotte da Kimsuky/SharpTongue.
Dal momento che si sfrutta la sessione a cui l’utente bersaglio ha già accesso, l’attacco resta pressoché invisibile da parte del provider del servizio di posta elettronica, rendendo praticamente impossibile rilevare la minaccia, infatti, l’estensione non innesca alcun avviso di attività sospetta.
Tra le attività eseguite dal malware, citiamo la raccolta delle e-mail della vittima, l’elenco dei domini con cui si sono intrattenute conversazioni, il caricamento di dati e allegati a un server remoto, con la possibilità di creare liste personalizzate di allegati da esfiltrare e molto altro.