Atacantes usam extensão do Chrome para roubar emails

Um grupo de hackers associado à Coreia do Norte está a utilizar extensões do Chrome e Edge para roubarem emails de forma quase imperceptível.

O grupo conhecido como Kimsuky visa browser baseados no Chromium, e tem como alvo os utilizadores que usam o browser para aceder ao Gmail e contas de email AOL. As vítimas ficam com uma extensão SHARPEXT instalada nos seus browsers (Chrome, Edge e Whale) que já vai na versão 3.0 e, pelo que tem sido detectado, parece estar direccionado contra pessoas de interesse nas áreas da política externa, tecnologia nuclear, e de interesse estratégico, nos EUA, Europa, e Coreia do Sul.

A extensão passa maioritariamente despercebida, mas tem capacidades bastante preocupantes.

• Envia os emails do Gmail / AOL para os atacantes, tendo o cuidado de não enviar emails já enviados anteriormente
• Envia todos os endereços de email com os quais a vítima já comunicou
• Pode impedir a recepção de emails de uma lista definida pelos atacantes
• Pesquisar anexos específicos para serem roubados
• etc.

Uma vez que a extensão actua sobre o browser e sessões da própria vítima, não gera qualquer tentativa de acesso "estranho" que possa ser detectado com facilidade.

E, se por agora está a ser usada contra alvos específicos, não será de admirar se no futuro virmos o mesmo tipo de técnica ser utilizada para ataques mais globais, que tenham como alvo a recolha de dados específicos, como emails com passwords ou códigos de reposição de passwords, para facilitar o processo de roubo de contas.