SHARPEXT webbläsartillägg ut för din inkorg
Säkerhetsforskare har upptäckt en ny skadlig webbläsartillägg som går under namnet SHARPEXT. Skadlig programvara är associerad med en nordkoreansk hotaktör som använder SHARPEXT för att söka igenom e-postmeddelanden från offer.
Hotaktören som driver SHARPEXT-tillägget går under namnet SharpTongue och tros verka från Nordkorea. Till skillnad från tidigare skadlig programvara som användes av SharpTongue, försöker SHARPEXT inte stjäla lösenord och referenser.
Istället söker SHARPEXT direkt genom offrets inkorg och kan exfiltrera data från den. Tillägget har fått flera uppdateringar sedan forskare började spåra det och det kan påverka tre webbläsare, inklusive Chrome och Edge.
För att få till stånd en SHARPEXT-installation och infektion behöver hotaktörerna flera filer från det riktade systemet exfiltrerade i förväg. Baserat på innehållet i dessa filer producerar hackarna skräddarsydda filer som webbläsaren kommer att acceptera tillbaka.
Det skadliga tillägget förlitar sig också på att använda PowerShell för att aktivera utvecklarverktyg på fliken som användaren öppnar sitt e-postkonto i. Detta, i kombination med användningen av lyssnare, gör att SHARPEXT kan stjäla e-postdata.