Um grupo de hackers apoiado pela Coreia do Norte, identificado como Kimsuky, está usando uma extensão de navegador maliciosa para roubar e-mails de usuários do Google Chrome e Microsoft Edge. A extensão, apelidada de SHARPEXT pelos pesquisadores da Volexity, que identificaram essa campanha, suporta três navegadores baseados no Chromium (Chrome, Edge e Whale) e pode roubar e-mails de contas do Gmail.
Os invasores instalam a extensão maliciosa depois de comprometer o sistema de um alvo usando um script Visual Basic Script personalizado, substituindo os arquivos ‘Preferências’ e ‘Preferências seguras’ por arquivos baixados do servidor de comando e controle do malware. Depois que os novos arquivos de preferências são baixados no dispositivo infectado, o navegador da web carrega automaticamente a extensão SHARPEXT.
“O malware inspeciona e exfiltra diretamente os dados da conta do webmail da vítima enquanto ela navega”, disse a Volexity nesta quinta-feira, 28. “Desde a sua descoberta, a extensão evoluiu e está atualmente na versão 3.0, baseada no sistema de versionamento interno.”
Veja isso
Google corrige quatro bugs de dia zero no navegador Chrome
Zero days explorados no Chrome e no Windows
Ao aproveitar a sessão já logada do alvo para roubar e-mails, o ataque permanece não detectado pelo provedor de e-mail da vítima, tornando a detecção muito desafiadora, se não impossível. Além disso, o fluxo de trabalho da extensão não acionará nenhum alerta de atividade suspeita nas contas das vítimas, o que garante que a atividade maliciosa não seja descoberta verificando a página de status da conta do webmail em busca de alertas.
Como a Volexity revelou hoje, esta última campanha se alinha com os ataques anteriores de Kimsuky, pois também implanta o SHARPEXT “em ataques direcionados à política externa, nuclear e outros indivíduos de interesse estratégico” nos Estados Unidos, Europa e Coréia do Sul.A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA emitiu um alerta focado nas táticas, técnicas e procedimentos (TTPs) do grupo, destacando o uso de extensões de navegador maliciosas para roubar credenciais e cookies dos navegadores das vítimas.