Исследователи обнаружили невиданное ранее вредоносное ПО, которое хакеры из Северной Кореи использовали для скрытного чтения и скачивания электронной почты и вложений с аккаунтов зараженных пользователей Gmail.
Вредоносная программа, получившая от исследователей из компании Volexity название SHARPEXT, использует хитроумные средства для установки расширения для браузеров Chrome и Edge. Расширение не может быть обнаружено почтовыми службами, а поскольку браузер уже был аутентифицирован с помощью всех имеющихся средств многофакторной аутентификации, эта популярная мера безопасности не играет никакой роли в предотвращении компрометации учетных записей.
По словам представителей Volexity, вредоносная программа используется уже «более года» и является делом рук хакерской группы, которую компания отслеживает под названием SharpTongue. Эта группа спонсируется правительством Северной Кореи и пересекается с группой Kimsuky. SHARPEXT нацелена на организации в США, Европе и Южной Корее, которые работают над ядерным оружием и другими вопросами, которые Северная Корея считает важными для своей национальной безопасности.
Президент компании Volexity Стивен Адэр в своем электронном письме сообщил, что расширение устанавливается «путем копьего фишинга и социальной инженерии, когда жертву обманом заставляют открыть вредоносный документ».
В своем нынешнем воплощении вредоносная программа работает только на Windows, но, по словам Адэра, нет причин, по которым она не может быть расширена для заражения браузеров, работающих на macOS или Linux.
