SHARPEXT Browser Extension Out voor uw Postvak IN
Beveiligingsonderzoekers hebben een nieuwe kwaadaardige browserextensie ontdekt die SHARPEXT heet. De malware wordt geassocieerd met een Noord-Koreaanse dreigingsactor die SHARPEXT gebruikt om e-mails van slachtoffers te doorzoeken.
De dreigingsactor die de SHARPEXT-extensie bedient, heet SharpTongue en wordt verondersteld vanuit Noord-Korea te opereren. In tegenstelling tot eerdere malware die door SharpTongue werd gebruikt, probeert SHARPEXT niet om wachtwoorden en inloggegevens te stelen.
In plaats daarvan prikt SHARPEXT rechtstreeks door de inbox van het slachtoffer en kan er gegevens uit filteren. De extensie heeft verschillende updates gekregen sinds onderzoekers deze begonnen te volgen en kan drie browsers beïnvloeden, waaronder Chrome en Edge.
Om een SHARPEXT-installatie en infectie uit te voeren, hebben de bedreigingsactoren verschillende bestanden van het beoogde systeem nodig die vooraf zijn geëxfiltreerd. Op basis van de inhoud van die bestanden maken de hackers op maat gemaakte bestanden die de browser terug accepteert.
De kwaadaardige extensie vertrouwt ook op het gebruik van PowerShell om dev-tools in te schakelen binnen het tabblad waarin de gebruiker zijn e-mailaccount opent. Dit, in combinatie met het gebruik van luisteraars, stelt SHARPEXT in staat e-mailgegevens te stelen.