Коварният софтуер ексфилтрира цялата поща и прикачени файлове в Gmail, излагайки на риск чувствителни документи

Злонамерено разширение на браузъра, свързано със Северна Корея, работи незабелязано, за да открадне данни от Gmail и AOL сесии.

Разширението, наречено „SHARPEXT“ от изследователите, наблюдава уеб страниците, за да анализира автоматично всички имейли и прикачени файлове от пощенските кутии на жертвите.

Това представлява особено сериозна заплаха за машините, използвани от организациите за бизнес операции, тъй като всяка чувствителна информация, изпратена по имейл, има потенциал да бъде открадната. До момента са идентифицирани цели в САЩ, ЕС и Южна Корея.

Фирмата за киберсигурност Volexity разкри съществуването на шпионския софтуер в  публикация в блога си и го свърза със заплаха, проследена  под името SharpTongue, но известна публично като Kimsuky. Смята се, че това образувание е от севернокорейски произход и изследователите са свързали SharpTongue с атаки срещу цели, свързани с националната сигурност на редица държави.

ArsTechnica съобщава, че президентът на Volexity Стивън Адеър заявява, че SHARPEXT е инсталиран чрез „фишинг и социално инженерство, при което жертвата е заблудена да отвори злонамерен документ“. Фишингът е често срещан вектор, използван за доставяне на злонамерени програми, като LockBit 2.0, който се разпространява по имейл, маскиран като PDF файлове.

За да постави основите на разширението, заплахата ръчно ексфилтрира файлове като предпочитанията на потребителя и предпочитанията за защита. Те се променят, за да включват изключения за злонамереното разширение и след това се изтеглят обратно на заразената машина чрез инфраструктурата за управление и контрол (C2) на злонамерения софтуер.

След като оригиналните файлове бъдат сменени за тези копия, SHARPEXT се зарежда директно от папката appdata на жертвата. Веднъж активирано, разширението изпълнява код директно от C2 сървъра, което има предимството да не позволява на антивирусния софтуер да открие зловреден код в самото разширение.

Освен това изпълняването на код по този начин позволява на малуера редовно да актуализира кода, без да се налага да инсталира отново по-нови версии на разширението на заразени системи. Всъщност разширението в момента е в третата си итерация, като предишните версии са по-ограничени в съвместимостта на браузъра и пощенския клиент.

В момента SHARPEXT поддържа Google Chrome и Microsoft Edge, както и браузър, наречен Whale, който е доста популярен в Южна Корея, но не и в други страни.

Разширението се активира само когато браузър Chromium работи и използва слушатели за наблюдение на активността, за да се увери, че са откраднати само имейл данни. Глобалните променливи проследяват имейлите, имейл адресите и прикачените файлове, които вече са били ексфилтрирани, за да се предотврати ненужно дублиране на данни.

В допълнение към функциите си за ексфилтрация, разширението внедрява скрипт Powershell, който постоянно проверява за съвместими процеси на браузъра и ако бъде намерен такъв, изпълнява скрипт за натискане на клавиш, който отваря панела DevTools.

Едновременно с това друг скрипт работи, за да скрие прозореца DevTools и всичко, което може да направи жертвата подозрителна, като например предупреждението на Edge, че разширение работи в режим за разработчици.

Volexity съветва екипите за сигурност в рамките на организациите да преглеждат редовно разширенията, особено тези, инсталирани на машини, свързани със силно чувствителна информация.

Източник: itpro.co.uk

Подобни публикации

23 януари 2025

Кибератаките влизат в топ 10 на рисковете за бъ...

Според Барометъра на риска на Алианц бизнесът в България определя к...
23 януари 2025

Тръмп помилва създателя на пазара на наркотици ...

Едва на втория ден от встъпването си в длъжност президентът Тръмп п...
23 януари 2025

Тръмп отменя правилата на Байдън за развитието ...

Президентът Доналд Тръмп отмени заповедта на бившия президент Джо Б...
22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
15/01/2025

Хакери измамиха 100 служите...

Службата на финансовия контрольор в Масачузетс...
06/01/2025

Фалшивите CAPTCHA атаки нар...

Експерти по сигурността предупреждават, че през...
Последно добавени
23/01/2025

Кибератаките влизат в топ 1...

Според Барометъра на риска на Алианц...
23/01/2025

Тръмп помилва създателя на ...

Едва на втория ден от встъпването...
23/01/2025

Тръмп отменя правилата на Б...

Президентът Доналд Тръмп отмени заповедта на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!