I tentativi di sequestro dei nostri dati da parte di criminali informatici che operano su Internet possono raggiungerci in molti modi. Di recente è stata rilevata un'estensione dannosa installata in Google Chrome e questo riguarda il nostro email.
Vi diciamo tutto questo perché in questo momento un gruppo di aggressori chiamato Kimsuky sta usando questo metodo di cui vi stiamo parlando. Per raggiungere i nostri computer, utilizzano un'estensione del browser dannosa di cui è responsabile rubare e-mail da Google Chrome o bordo utenti. In particolare, una volta installato, consente a questi aggressori di leggere i nostri messaggi webmail.
Una volta che sappiamo di cosa si tratta, dobbiamo tenere presente che l'interno viene chiamato Testo Sharp ed è stato rilevato dai ricercatori Volexity. Dire che è compatibile con tre browser web basati sul motore Chromium: Chrome, bordo e balena. A sua volta, è in grado di rubare la nostra posta dagli account Gmail e AOL. Una volta installata l'estensione dannosa, compromette il sistema utilizzando uno script VBS personalizzato. Qui i file delle preferenze e delle preferenze di sicurezza vengono sostituiti con quelli scaricati dal server di controllo malware.
Una volta che i nuovi file di cui abbiamo parlato sono stati scaricati sul computer infetto, il file browser web carica automaticamente l'estensione Sharpext. Il malware quindi analizza e filtra direttamente i dati dall'account webmail della vittima mentre ci muoviamo attraverso di esso. In effetti, possiamo dire che l'estensione si è evoluta nel tempo ed è attualmente alla versione 3.0.
Sharpext, l'estensione di Chrome che ruba la posta
A tutto ciò che è stato detto, possiamo aggiungerlo perché qui il l'estensione sfrutta la sessione già iniziato a rubare email, l'attacco passa inosservato. Tutto questo è qualcosa che si estende sia al provider di posta elettronica stesso che alla vittima. In breve, la sua modalità di funzionamento rende il suo rilevamento molto difficile, quasi impossibile. Allo stesso tempo, è importante sapere che il flusso di lavoro dell'estensione non attiverà alcun avviso di attività sospetta sugli account di posta elettronica.
Ciò garantisce che l'attività dannosa non venga rivelata quando si controlla la pagina di stato dell'account per potenziali avvisi. Come puoi immaginare, questo comportamento rende l'attacco uniforme più pericoloso ed efficace per chi è interessato a ricevere i nostri messaggi. Inoltre, la stessa estensione di Chrome è responsabile dell'elenco delle email raccolte dalla vittima in modo che i duplicati non vengano caricati.
Allo stesso modo, scansiona i domini con cui abbiamo comunicato in precedenza e crea una lista nera di mittenti che devono essere ignorati durante la raccolta di queste e-mail. D'altra parte, l'attacco aggiunge un nuovo dominio all'elenco delle email viste in precedenza e carica un nuovo allegato sul server remoto. Va notato che questa non è la prima volta che questo gruppo nordcoreano utilizza estensioni del browser per raccogliere ed estrarre dati riservati da sistemi compromessi, quindi ha già esperienza.
