Pesquisadores alertaram os usuários do Gmail no navegador Microsoft Edge e Google Chrome sobre um novo malware de espionagem de e-mail chamado SHARPEXT.
Os usuários do Gmail devem estar atentos ao malware de leitura de e-mail recém-descoberto chamado SHARPEXT. Ele é identificado pela empresa de segurança cibernética Volexity. Esse malware intrometido espiona os titulares de contas da AOL e do Google e pode ler/baixar seus e-mails e anexos particulares.
Detalhes da campanha
O malware SHARPEXT infecta dispositivos por meio de extensões de navegador no Google Chrome e plataformas baseadas em Chromium, incluindo o navegador coreano Naver Whale e o Microsoft Edge. Seus principais alvos são usuários nos EUA, Coréia do Sul e Europa, enquanto sua origem foi atribuída a um grupo de hackers norte-coreano chamado Kimsuky ou SharpTongue, que está associado à agência de inteligência norte-coreana Reconnaissance General Bureau..
Os alvos típicos do malware SHARPEXT incluem aqueles que trabalham com armamento nuclear. Vale a pena notar que em junho de 2021, Kimsuky APT foi encontrado visando a agência atômica sul-coreana explorando falhas de VPN. Em março de 2015, o mesmo grupo foi responsabilizado por atacar a usina nuclear Kori, na Coreia do Sul, e vazar dados confidenciais no Twitter.
Quanto ao SHARPEXT; o malware pode inspecionar e extrair dados diretamente das contas do Gmail e afetar a versão 3.0. Essa campanha está ativa há mais de um ano e, durante esse período, roubou milhares de arquivos e mensagens de contas de e-mail do Gmail e AOL.
O malware está atualmente visando dispositivos Windows, mas a Volexity afirma que também pode funcionar em dispositivos Linux e macOS.
Como ocorre o ataque? As vítimas são atraídas para abrir um documento que contém o malware. O malware é distribuído por meio de engenharia social e golpes de spear phishing.
“Antes de implantar o SHARPEXT, o invasor extrai manualmente os arquivos necessários para instalar a extensão (explicada abaixo) da estação de trabalho infectada. O SHARPEXT é então instalado manualmente por um script VBS escrito pelo invasor.”
Paul Rascagneres, Thomas Lancaster – Volexity Threat Research
De acordo com a postagem do blog da Volexity, uma vez instalado no dispositivo, o malware SHARPEXT se insere no navegador através dos arquivos Preferências e Preferências Seguras. Em seguida, ele habilita seus recursos de leitura/download de e-mail. Além disso, também oculta alertas de aviso que podem ser exibidos para notificar o usuário sobre a presença de um ramal não verificado no dispositivo.
Para sua informação, as extensões com malware SHARPEXT são difíceis de detectar, pois não há nada que possa desencadear uma resposta do scanner antivírus, e a ameaça real é executada de outro servidor.
