Det här tillägget i Chrome har läst alla dina Gmail-e-postmeddelanden

Försök att beslagta vår data av cyberbrottslingar som verkar på Internet kan nå oss på många sätt. Ett skadligt tillägg har nyligen upptäckts som är installerat i Google krom och det påverkar vår e-mail.

Vi berättar allt detta för just nu använder en grupp angripare som heter Kimsuky den här metoden som vi berättar om. För att nå våra datorer använder de ett skadligt webbläsartillägg som ansvarar för stjäla mejl från Google Chrome eller kant användare. Närmare bestämt, när det väl har installerats, gör det det möjligt för dessa angripare att läsa våra webbmailmeddelanden.

Det här tillägget i Chrome har läst alla dina Gmail-e-postmeddelanden

När vi väl vet vad det är måste vi tänka på att tillägget heter Sharpext och upptäcktes av Volexity-forskare. För att säga att den är kompatibel med tre webbläsare baserade på Chromium-motorn: Chrome, kant och Whale. I sin tur kan den stjäla vår e-post från Gmail- och AOL-konton. När det skadliga tillägget har installerats, äventyrar det systemet med hjälp av ett anpassat VBS-skript. Här ersätts filerna Preferences och Secure Preferences med de som laddats ner från kontrollservern för skadlig programvara.

När de nya filerna som vi nämnde har laddats ner till den infekterade datorn, webbläsare laddar automatiskt Sharpext-tillägget. Skadlig programvara analyserar och filtrerar sedan direkt data från offrets webbmailkonto när vi går igenom det. Faktum är att vi kan säga att tillägget har utvecklats över tiden och är för närvarande på version 3.0.

Sharpext, Chrome-tillägget som stjäl e-post

Till allt som har sagts kan vi lägga till det eftersom här extension drar fördel av sessionen redan börjat stjäla e-post, attacken går obemärkt förbi. Allt detta är något som utsträcks både till e-postleverantören själv och till offret. Kort sagt, dess funktionssätt gör dess upptäckt mycket svårt, nästan omöjligt. Samtidigt är det viktigt att veta att tilläggets arbetsflöde inte kommer att utlösa några varningar om misstänkt aktivitet på e-postkonton.

kromförlängningar

Detta säkerställer att skadlig aktivitet inte avslöjas när du kontrollerar kontostatussidan för potentiella varningar. Som du kan föreställa dig gör detta beteende attacken jämn farligare och effektivare för dig som är intresserad av att få tag i våra meddelanden. Dessutom är samma Chrome-tillägg ansvarig för att lista de e-postmeddelanden som samlats in från offret så att dubbletter inte laddas.

Likaså skannar den de domäner som vi tidigare har kommunicerat med och skapar en svartlista över avsändare som måste ignoreras vid insamling av dessa e-postmeddelanden. Å andra sidan lägger attacken till en ny domän till listan över tidigare sedda e-postmeddelanden och laddar upp en ny bilaga till fjärrservern. Det bör noteras att det inte är första gången som denna nordkoreanska grupp använder sig av webbläsartillägg att samla in och extrahera konfidentiell data från komprometterade system, så den har redan erfarenhet.