黑客使用 SHARPEXT 瀏覽器惡意軟件監視 Gmail 和 Aol 用戶

研究人員已警告 Microsoft Edge 和 Google Chrome 瀏覽器上的 Gmail 用戶注意一種名為 SHARPEXT 的新電子郵件間諜惡意軟件。

Gmail用戶應注意新發現的名為 SHARPEXT 的電子郵件閱讀惡意軟件。它由網絡安全公司 Volexity 確定。這種愛管閑事的惡意軟件會監視 AOL 和 Google 帳戶持有人，并可以讀取/下載他們的私人電子郵件和附件。

活動詳情

SHARPEXT 惡意軟件通過 Google Chrome 和基于 Chromium 的平臺上的瀏覽器擴展感染設備，包括韓國瀏覽器 Naver Whale 和 Microsoft Edge。它的主要目標是美國、韓國和歐洲的用戶，而它的起源可以追溯到一個名為 Kimsuky 或 SharpTongue 的朝鮮黑客組織，該組織與朝鮮情報機構偵察總局有關聯。

SHARPEXT 惡意軟件的典型目標包括那些從事核武器工作的人。值得注意的是，2021 年 6 月，Kimsuky APT 被發現利用 VPN 漏洞針對韓國原子能機構。2015 年 3 月，同一組織被指責針對韓國 Kori 核電站并在 Twitter 上泄露敏感數據。

至于SHARPEXT；該惡意軟件可以直接檢查和竊取 Gmail 帳戶中的數據并影響 3.0 版。該活動已經活躍了一年多，在此期間，它從 Gmail 和 AOL 電子郵件帳戶中竊取了數千個文件和消息。

該惡意軟件目前針對的是 Windows 設備，但 Volexity 聲稱它也可以在 Linux 和 macOS 設備上運行。

攻擊是如何發生的？

受害者被引誘打開包含惡意軟件的文檔。該惡意軟件通過社會工程和魚叉式網絡釣魚詐騙傳播。

“在部署 SHARPEXT 之前，攻擊者從受感染的工作站手動竊取安裝擴展程序（如下所述）所需的文件。SHARPEXT 然后由攻擊者編寫的 VBS 腳本手動安裝。”

Paul Rascagneres、Thomas Lancaster – Volexity 威脅研究

根據 Volexity 的博客文章，一旦安裝在設備上，SHARPEXT 惡意軟件就會通過 Preferences 和 Secure Preferences 文件將自身插入瀏覽器。然后，它啟用其電子郵件閱讀/下載功能。此外，它還隱藏了可能顯示的警告警報，以通知用戶設備上存在未經驗證的擴展程序。

供您參考，帶有 SHARPEXT 惡意軟件的擴展很難被發現，因為其中沒有可以觸發防病毒掃描程序響應的東西，并且實際威脅來自另一臺服務器。

SHARPEXT 惡意軟件的處理工作流程（圖片：Volexity）

如何保持保護？

Volexity 已在Github上發布了 IoC（入侵指標）列表，以幫助您確定設備是否已被感染。您還可以檢查所有已安裝的瀏覽器擴展，并檢查它們是否都可以在 Chrome 網上應用店中找到。

此外，刪除任何看起來可疑的擴展程序，或者您從不可靠的來源下載的擴展程序。始終使用最好的防病毒解決方案來保護您的設備。