Хакеры из Северной Кореи начали использовать расширения для браузеров, чтобы красть электронные письма

Вирус ворует электронные письма из браузеров Google Chrome, Microsoft Edge и Whale. Атака начинается с момента компрометации операционной системы через кастомный VBS-скрипт. Вирусный скрипт подменяет системные файлы «Preferences» и «Secure Preferences» на загруженные с командного сервера оператора, которые загружаются на компьютер перед запуском самого расширения.

Предположительно, за подобными атаками стоит кибергруппировка Kimsuky из Северной Кореи. Атаки нацелены на публичных людей и политиков из Южной Кореи, Европы и США. Эффективность атак эксперты объясняют невозможностью сервисами электронной почты, Gmail и AOL, детектировать вредоносную активность, — вирус использует активную легитимную сессию пользователя. Такая же ситуация и на стороне учётной записи жертвы — не будет каких-либо уведомлений о подозрительных действиях.

«Вредоносный аддон напрямую мониторит и извлекает данные из почтового аккаунта жертвы в тот момент, когда она проверяет входящие письма. Кстати, злоумышленники не забывают развивать и модернизировать расширение, в настоящий момент его версия — 3.0», — отметили специалисты Volexity.