SHARPEXT Estensione del browser disponibile per la tua casella di posta
I ricercatori di sicurezza hanno individuato una nuova estensione del browser dannosa che si chiama SHARPEXT. Il malware è associato a un attore di minacce nordcoreano che utilizza SHARPEXT per curiosare tra le e-mail delle vittime.
L'attore che gestisce l'estensione SHARPEXT si chiama SharpTongue e si ritiene che operi fuori dalla Corea del Nord. A differenza del precedente malware utilizzato da SharpTongue, SHARPEXT non tenta di rubare password e credenziali.
Invece, SHARPEXT cerca direttamente nella posta in arrivo della vittima e può esfiltrare i dati da essa. L'estensione ha ricevuto diversi aggiornamenti da quando i ricercatori hanno iniziato a tracciarla e può interessare tre browser, inclusi Chrome ed Edge.
Per eseguire un'installazione e un'infezione SHARPEXT, gli attori delle minacce hanno bisogno di diversi file dal sistema di destinazione esfiltrati in anticipo. Sulla base del contenuto di tali file, gli hacker producono file su misura che il browser accetterà di nuovo.
L'estensione dannosa si basa anche sull'utilizzo di PowerShell per abilitare gli strumenti di sviluppo all'interno della scheda in cui l'utente apre il proprio account di posta elettronica. Questo, combinato con l'uso di listener, consente a SHARPEXT di rubare i dati di posta.