Исследователи обнаружили невиданное ранее вредоносное ПО, которое хакеры из Северной Кореи использовали для скрытного чтения и скачивания электронной почты и вложений с аккаунтов зараженных пользователей Gmail.

Вредоносная программа, получившая от исследователей из компании Volexity название SHARPEXT, использует хитроумные средства для установки расширения для браузеров Chrome и Edge. Расширение не может быть обнаружено почтовыми службами, а поскольку браузер уже был аутентифицирован с помощью всех имеющихся средств многофакторной аутентификации, эта популярная мера безопасности не играет никакой роли в предотвращении компрометации учетных записей.

По словам представителей Volexity, вредоносная программа используется уже "более года" и является делом рук хакерской группы, которую компания отслеживает под названием SharpTongue. Эта группа спонсируется правительством Северной Кореи и пересекается с группой Kimsuky. SHARPEXT нацелена на организации в США, Европе и Южной Корее, которые работают над ядерным оружием и другими вопросами, которые Северная Корея считает важными для своей национальной безопасности.

Президент компании Volexity Стивен Адэр в своем электронном письме сообщил, что расширение устанавливается "путем копьего фишинга и социальной инженерии, когда жертву обманом заставляют открыть вредоносный документ".

В своем нынешнем воплощении вредоносная программа работает только на Windows, но, по словам Адэра, нет причин, по которым она не может быть расширена для заражения браузеров, работающих на macOS или Linux.

Источник статьи: www.ferra.ru