Компанія з кібербезпеки Volexity виявила нову шкідливу програму, яку хакери з Північної Кореї використовували для прихованого читання пошти. Під загрозою опинились листи та вкладення з акаунтів Gmail та AOL. 

Програма, яку назвали SHARPEXT, використовує «розумні» засоби, щоб встановити розширення для браузерів Chrome та Edge. Служби електронної пошти не може виявити розширення, й оскільки вебпереглядач вже автентифікований, навіть багатофакторний захист не може завадити викраденню даних. 

Volexity повідомляє, що шкідливе ПЗ працює вже понад рік. Його розробила група SharpTongue, яку фінансує уряд Північної Кореї. Дія програми була націлена проти організацій у США, Європі та Південній Кореї, які працюють над ядерним озброєнням та іншими питаннями, важливими для безпеки Північної Кореї. 

За словами президента Volexity, розширення встановлюється «шляхом фішингу та соціальної інженерії, де жертву обманюють й вона відкриває шкідливий документ. Раніше ми бачили, як з КНДР запускали фішингові атаки, головною метою яких було змусити жертву встановити розширення для вебпереглядача».

Наразі шкідливе ПЗ працює лише на Windows, але фахівці застерігають, що хакери можуть розширити його для зараження браузерів, які працюють на Linux та iOS. Щоб обійти захист браузера, зловмисники спершу мають отримати копію файлу resources.pak, номер SID, а також оригінальні файли налаштувань безпеки з системи користувача. 

Після зміни файлів налаштувань SHARPEXT автоматично завантажує розширення. Програма дозволяє хакерам створювати списки електронних адрес, які потрібно ігнорувати, й відстежувати вже викрадені електронні листи чи вкладення. Дослідники попереджають, що загроза, яку становить цей інструмент, розвивається та навряд чи зникне найближчим часом.