SHARPEXT nettleserutvidelse ut for innboksen din
Sikkerhetsforskere har oppdaget en ny ondsinnet nettleserutvidelse som går under navnet SHARPEXT. Skadevaren er assosiert med en nordkoreansk trusselaktør som bruker SHARPEXT til å søke gjennom e-poster fra offer.
Trusselaktøren som driver SHARPEXT-utvidelsen går under navnet SharpTongue og antas å operere utenfor Nord-Korea. I motsetning til tidligere skadelig programvare brukt av SharpTongue, prøver ikke SHARPEXT å stjele passord og legitimasjon.
I stedet stikker SHARPEXT direkte gjennom innboksen til offeret og kan eksfiltrere data fra den. Utvidelsen har mottatt flere oppdateringer siden forskere begynte å spore den, og den kan påvirke tre nettlesere, inkludert Chrome og Edge.
For å gjennomføre en SHARPEXT-installasjon og infeksjon, trenger trusselaktørene flere filer fra det målrettede systemet eksfiltrert på forhånd. Basert på innholdet i disse filene produserer hackerne skreddersydde filer som nettleseren godtar tilbake.
Den ondsinnede utvidelsen er også avhengig av bruk av PowerShell for å aktivere utviklerverktøy i fanen som brukeren åpner e-postkontoen sin i. Dette, kombinert med bruk av lyttere, gjør at SHARPEXT kan stjele e-postdata.