Un malware permet de lire les emails d’un compte Gmail.
Des chercheurs en cybersécurité ont découvert un malware activement exploité par des pirates nord-coréens. Le logiciel malveillant permet aux hackers de lire et télécharger des emails et pièces jointes des comptes de messagerie Gmail et AOL.
Baptisé SHARPEXT, ce malware infecte des machines par le biais d'extension pour les navigateurs Google Chrome, Microsoft Edge et Whale, tous les trois basés sur Chromium. Cette extension n’étant pas détectée comme malveillante par les plateformes de messagerie visées, peut commencer son travail dès lors l’installation terminée.
SHARPEXT diffère des précédents malwares, car il n’essaie pas de voler les noms d’utilisateur et les mots de passe. Au contraire, le logiciel malveillant inspecte et exfiltre directement les données du compte de messagerie Web d’une victime lorsqu’elle le parcourt.
Qui se cache derrière ?
D'après les experts à l'origine de l'identification de SHARPEXT, le malware a été utilisé depuis plus d'un an par un groupe de pirates sous le nom de SharpTongue. Cet acteur est censé être d’origine nord-coréenne et est souvent publiquement désigné sous le nom de Kimsuky.
Les chercheurs en cybersécurité observent fréquemment SharpTongue cibler des personnes travaillant pour des organisations aux États-Unis, en Europe et en Corée du Sud qui travaillent sur des sujets impliquant la Corée du Nord, les questions nucléaires, les systèmes d’armes et d’autres questions d’intérêt stratégique pour la Corée du Nord. Depuis le déploiement du malware, plusieurs milliers d'adresses email auraient été piratés, selon les estimations.
Procédure d’attaque
L'extension s'installe automatiquement après l'ouverture d'un document vérolé. Dans la majorité des cas, l'utilisateur ne se rend même pas compte qu'une extension s'est installée. Pour y arriver, les pirates déjouent les mécanismes de sécurité du moteur Chromium en extrayant certains éléments de l'ordinateur infecté.
Grâce à cela, SHARPEXT va pouvoir télécharger l'extension en toute discrétion, exécuter un script PowerShell pour activer DevTools, et exécuter du code. Le script est conçu pour cacher les fenêtres d'avertissement des navigateurs lorsqu'une extension s'exécute en mode développeur.