По мнению специалистов, за вредоносным расширением стоит группировка Kimsuky.

Вредоносное расширение, обнаруженное Volexity еще в сентябре прошлого года, получило название SHARPEXT. Оно позволяет злоумышленникам красть письма из электронной почты Google и AOL , а также поддерживает три браузера на Chromium: Chrome , Edge и южнокорейский Naver Whale.

SHARPTEXT устанавливается после взлома системы жертвы с помощью кастомного VSB-скрипта, заменяющего файлы 'Preferences' и 'Secure Preferences' на файлы, загруженные с C&C-сервера злоумышленников. Как только эти файлы будут скачаны на устройство, браузер жертвы загрузит и установит вредоносное расширение.

Схема, изображающая работу SHARPTEXT

По словам специалистов Volexity, SHARPTEXT напрямую проверяет и извлекает данные из почтового аккаунта жертвы, когда она просматривает входящие письма. Системы безопасности почтовых сервисов не могут обнаружить атаку, поскольку расширение использует активную сессию пользователя.

Кроме того, SHARPTEXT постоянно развивается и обновляется, его текущая версия – 3.0.

Эксперты Volexity отметили, что кампания с использованием SHARPTEXT очень похожа на предыдущие атаки Kimsuky , направленные на деятелей внешней политики и других лиц, «представляющих стратегический интерес» в США, Европе и Южной Корее.

Источник: securitylab