Pokusy zmocnit se našich dat kyberzločinci operujícími na internetu se k nám mohou dostat mnoha způsoby. Nedávno bylo objeveno škodlivé rozšíření, které je nainstalováno v Google chróm a to ovlivňuje naše e-mail.
Říkáme vám to všechno, protože právě teď skupina útočníků jménem Kimsuky používá tuto metodu, o které vám říkáme. Aby se dostali do našich počítačů, používají škodlivé rozšíření prohlížeče, které je zodpovědné krádež e-mailů z Google Chrome nebo Hrana uživatelů. Konkrétně po instalaci umožňuje těmto útočníkům číst naše webové zprávy.
Jakmile víme, co to je, musíme mít na paměti, že rozšíření se nazývá Sharpext a byl zjištěn výzkumníky Volexity. Chcete-li říci, že je kompatibilní se třemi webovými prohlížeči založenými na enginu Chromium: Chrome, Hrana a Velryba. Na druhé straně je schopen ukrást naši poštu z účtů Gmail a AOL. Jakmile je škodlivé rozšíření nainstalováno, kompromituje systém pomocí vlastního skriptu VBS. Zde jsou soubory Předvolby a Zabezpečené předvolby nahrazeny soubory staženými ze serveru pro kontrolu malwaru.
Jakmile budou nové soubory, které jsme zmínili, staženy do infikovaného počítače, webový prohlížeč automaticky načte rozšíření Sharpext. Malware pak přímo analyzuje a filtruje data z webového účtu oběti, když se přes něj pohybujeme. Ve skutečnosti můžeme říci, že rozšíření se postupem času vyvíjelo a aktuálně je ve verzi 3.0.
Sharpext, rozšíření pro Chrome, které krade poštu
Ke všemu, co bylo řečeno, můžeme přidat, protože zde rozšíření využívá relace již začal krást e-maily, útok zůstane bez povšimnutí. To vše je něco, co se vztahuje jak na samotného poskytovatele e-mailu, tak na oběť. Jeho způsob fungování zkrátka velmi ztěžuje, téměř znemožňuje jeho detekci. Zároveň je důležité vědět, že pracovní postup rozšíření nespustí žádné upozornění na podezřelou aktivitu na e-mailových účtech.
To zajišťuje, že při kontrole stránky stavu účtu na potenciální výstrahy nebude odhalena škodlivá aktivita. Jak si dokážete představit, toto chování dělá útok vyrovnaným nebezpečnější a účinnější pro ty, kteří mají zájem získat naše zprávy. Stejné rozšíření pro Chrome je navíc zodpovědné za výpis e-mailů shromážděných od oběti, aby se nenačítaly duplikáty.
Stejně tak prohledá domény, se kterými jsme dříve komunikovali, a vytvoří blacklist odesílatelů, které je nutné při shromažďování těchto e-mailů ignorovat. Na druhou stranu útok přidá novou doménu do seznamu dříve viděných e-mailů a nahraje novou přílohu na vzdálený server. Nutno podotknout, že to není poprvé, co tato severokorejská skupina použila rozšíření prohlížeče shromažďovat a extrahovat důvěrná data z napadených systémů, takže už má zkušenosti.
