Volgens securitybedrijf Volexity gebruiken Noord-Koreaanse hackers een nieuwe malwarevariant om de bijlagen en emails van AOL- en Gmail-gebruikers te lezen.

Volexity noemt de malware ‘SHARPEXT’. De malware downloadt een kwaadaardige browserextensie voor Chrome en Edge. De browserextensie wordt gevalideerd via multifactor-authenticatie, waardoor standaard e-maildiensten de dreiging niet kunnen detecteren.

Volgens Volexity gebruiken de hackers de malware al meer dan een jaar. De misdaadgroep staat bekend als SharpTongue. Volexity beweert dat de Noord-Koreaanse regering de groep sponsort. SHARPEXT wordt voornamelijk verspreid onder organisaties die aan kernwapens en vertrouwelijke projecten werken in Zuid-Korea, de VS en Europa.

“Slachtoffers worden door middel van spear phishing en social engineering misleid tot het openen van een kwaadaardig document”, aldus Volexity-president Steven Adair. “Eerder zagen we dat DPRK-hackers spear phishing-aanvallen lanceerden met het doel om browserextensies te installeren.”

SHARPEXT

De huidige versie van de malware ondersteunt Windows. Adair vermoedt dat het mogelijk is om de malware naar Linux- en macOS-browsers uit te breiden. Hackers omzeilen de securitymaatregelen van browsers door een aantal gegevens te stelen: de S-ID waarde van een gebruiker, het resource-pak-bestand van een browser en de voorkeursbestanden van een gebruiker.

Na het wijzigen van de voorkeursbestanden voert SHARPEXT een PowerShell-script uit om instellingen aan te passen. “Het script draait in een oneindige lus en zoekt naar processen die relevant zijn voor doelbrowsers”, beschrijft Volexity. “Zodra er doelbrowsers worden gevonden controleert het script de titel van het tabblad op een specifiek trefwoord. Bijvoorbeeld ‘05101190’ of ‘Tab+’, afhankelijk van de SHARPEXT-versie. De kwaadaardige extensie voegt het trefwoord in de titel wanneer een tabblad verandert of een pagina laadt.”

Tip: ‘Noord-Koreaanse hackers vielen Nederlands defensiebedrijf binnen’

Lees meer