SHARPEXT Browser Extension Out für Ihren Posteingang
Sicherheitsforscher haben eine neue bösartige Browsererweiterung mit dem Namen SHARPEXT entdeckt. Die Malware wird mit einem nordkoreanischen Bedrohungsakteur in Verbindung gebracht, der SHARPEXT einsetzt, um E-Mails von Opfern zu durchsuchen.
Der Bedrohungsakteur, der die SHARPEXT-Erweiterung betreibt, trägt den Namen SharpTongue und soll von Nordkorea aus operieren. Im Gegensatz zu früherer Malware, die von SharpTongue verwendet wird, versucht SHARPEXT nicht, Passwörter und Zugangsdaten zu stehlen.
Stattdessen durchforstet SHARPEXT direkt den Posteingang des Opfers und kann Daten daraus exfiltrieren. Die Erweiterung hat mehrere Updates erhalten, seit Forscher damit begonnen haben, sie zu verfolgen, und sie kann drei Browser betreffen, einschließlich Chrome und Edge.
Um eine SHARPEXT-Installation und -Infektion durchzuziehen, müssen die Angreifer zuvor mehrere Dateien aus dem Zielsystem exfiltrieren. Basierend auf dem Inhalt dieser Dateien erstellen die Hacker maßgeschneiderte Dateien, die der Browser zurücknimmt.
Die bösartige Erweiterung verlässt sich auch auf die Verwendung von PowerShell, um Entwicklungstools innerhalb der Registerkarte zu aktivieren, in der der Benutzer sein E-Mail-Konto öffnet. Dies, kombiniert mit der Verwendung von Listenern, ermöglicht es SHARPEXT, E-Mail-Daten zu stehlen.