Az észak-koreai hekkerek soha nem látott módszereket alkalmaznak a Google e-mail biztonsági rutinjainak megkerülésére, amelyek révén úgy olvashatják vagy tölthetik le a Gmail-fiókokban talált üzeneteket és mellékleteket, hogy az még a Google-nek sem tűnik fel. A Volexity kiberbiztonsági cég blogbejegyzése szerint a levelezési adatok ellopásához egyszerű böngészőbővítményeket használnak, és állítólag az Egyesült Államokban, Európában és Dél-Koreában tartózkodó felhasználókat célozzák meg a kifinomult támadásokkal.

Míg az ilyen típusú, úgynevezett spear phishing támadásoknakkorábban az volt a feltétele, hogy a felhasználók aktívan közreműködjenek a preparált böngészőbővítmények letöltésével, a mostani támadásoknál erre már nincs szükség, arosszindulatú programok az áldozatok tudta nélkül is letölthetik magukat a számítógépekre. Ennél is ijesztőbb, hogy a Google (illetve a Microsoft) böngészői sem észlelik a beszivárást, sőt maga a malware is folyamatosan fejlődött a felfedezése óta, a Volexity szerint már a harmadik verziójánál tart.

Egyelőre nem érdekli őket akárki

Az Ars Technicának nyilatkozva a cég világossá tette, hogy a SHARPEXT névre keresztelt program jelenlegi iterációja csak a Windows rendszerek felhasználóit érinti, de nincs okuk azt feltételezni, hogy a MacOS- vagy a Linux-felhasználók innentől már végleg kimaradnak a dologból. A Volexity azt valószínűsíti, hogy a Kimsuky vagy SharpTongue néven hivatkozott hekkercsoport észak-koreai állami szponzorációval működik, a SHARPEXT révén pedig olyan amerikai, európai vagy dél-koreai szervezeteknek dolgozó személyeket figyelnek meg, akik Észak-Korea stratégiai érdekeit érintő témákon dolgoznak.

A Volexity úgy értékeli, hogy a bővítmény eddig meglehetősen sikeres lehetett, mivel a támadók biztonsági szállító által megszerzett naplók tanúsága szerint is több áldozattól több ezer e-mailt loptak el a rosszindulatú program telepítésével. Ezt támasztja alá az is, hogy legelső felbukkanásakor a SHARPEXT még egy számos hibát tartalmazó, kiforratlan eszköz volt, de a legújabb frissítések és az állandó karbantartás azt mutatják, hogy a támadók elérik vele a céljukat, és megéri nekik folytatni a kód finomítását.