Theo TheHackerNews, công ty an ninh mạng Volexity cho rằng tiện ích sao chép email trái phép này thuộc nhóm SharpTongue. Nhóm này được cho là có liên hệ khá gần với nhóm tin tặc Triều Tiên mà Kaspersky gọi là Kimsuky.
Hai nhà nghiên cứu của Volexity nói SharpTongue có lịch sử tấn công những cá nhân làm việc cho các tổ chức ở Mỹ, châu Âu và Hàn Quốc. Những nạn nhân có chung đặc điểm là đều làm về các vấn đề của Triều Tiên như hạt nhân, hệ thống vũ khí...
Tiện ích mở rộng bị các chuyên gia an ninh mạng tìm ra có tên Sharpext. Phần mềm độc hại này sẽ trực tiếp kiểm tra và lấy dữ liệu từ tài khoản webmail của nạn nhân khi họ duyệt qua chúng.
Các trình duyệt được nhắm mục tiêu đều sử dụng nhân Chromium gồm Google Chrome, Microsoft Edge và Whale của Naver. Phần mềm độc hại được thiết kế để thu thập thông tin từ Gmail và AOL.
 |
Sharpext là tiện ích mở rộng độc hại chuyên trộm nội dung email trên trình duyệt nhân Chromium |
chụp màn hình |
Nhóm tấn công cài đặt tiện ích độc hại bằng cách thay thế các tùy chọn bảo mật của trình duyệt với các tập tin nhận được từ máy chủ từ xa sau khi lây nhiễm hệ thống Windows của nạn nhân.
Khi khởi chạy, tiện ích độc hại này sẽ bật DevTools trong tab đang hoạt động để lấy cắp email và tập tin đính kèm từ hộp thư của người dùng, đồng thời ẩn bất kỳ cảnh báo nào về việc chạy tiện ích mở rộng với chế độ nhà phát triển.
Volexity cho biết đây là lần đầu tiên họ thấy các tiện ích mở rộng độc hại được sử dụng như một phần của giai đoạn hậu khai thác. Bằng cách đánh cắp dữ liệu email trong phiên đăng nhập của người dùng, cuộc tấn công được ẩn khỏi nhà cung cấp email, khiến việc phát hiện trở nên rất khó khăn.
Bình luận (0)