Pohjois-Korean tukemat hakkerit käyttävät haittaohjelmia sähköpostien varastamiseen

Joukko hakkerit Pohjois-Korea tukee Microsoft Edgen ja Google Chromen haitallista laajennusta varastaakseen sähköpostit molempien selainten käyttäjiltä. Volexityn tutkijoiden SHARPEXT-nimellä tunnettu laajennus tukee kolmea Chromium-pohjaista selainta ja sillä on mahdollisuus varastaa sähköposteja kiinnostavien henkilöiden Gmail-tileiltä.

Lue lisää: Hyvät hakkerit: Rio de Janeirossa järjestettävä kilpailu on avoin ilmoittautumiselle

Kuvaus SHARPEXT-selainlaajennuksesta

Toisin kuin muut vaurioituneet laajennukset, SHARPEXT ei etsi kirjautumistunnuksia ja salasanoja. Sen sijaan uhka voi tarkastaa ja poimia tietoja suoraan henkilön webmail-tilistä, kun sitä käytetään. Laajennus voi poimia tietoja AOL: sta ja Gmailista.

SHARPEXT ja Sharp Tongue

Hyökkäyskampanjasta tietoja toimittaneet tutkijat katsoivat, että SHARPEXT johtui pohjoiskorealaisesta uhkatekijästä, jota he kutsuivat Sharp Tongueks. Hänet tunnetaan hyvin kyvystään tunnistaa hakkereita, jotka tukevat organisaatioita Yhdysvalloissa, Euroopassa ja Etelä-Koreassa.

Tutkijoiden Paul Rascagneresin ja Thomas Lancasterin mukaan tavoitteena oli työstää teemoja liittyvät Pohjois-Koreaan, ydinkysymyksiin, asejärjestelmiin ja muihin strategisiin etuihin Pohjois-Korea.

Nämä hyökkäykset eivät ole mitään uutta kenellekään.

Ei voida kiistää, ettei Kimsukyn valtuuttamien selainlaajennusten käyttäminen ole mitään uutta. Vuonna 2018 havaittiin, että Chrome-laajennusta käytettiin osana Stolen Pencil -kampanjaa uhrien asiakirjojen sekä evästeiden ja selaintietojen varastamiseen.

Nykyinen hyökkäys on kuitenkin hieman sekava, koska se käyttää Sharpext-nimistä työkalua sähköpostitietojen varastamiseen. Tämä haittaohjelma tarkastaa ja varastaa tiedot suoraan uhrin verkkosähköpostitilistä käytön aikana.

On tärkeää huomata, että hakkeroituja sivustoja ovat Google Chrome, Microsoft Edge ja Naver Valaiden ja sähköpostien tietojenkalasteluvirus pyrkii keräämään Gmail-istuntotietoja ja AOL.