Cyberthreat.id – Peneliti Keamanan dari Volexity menemukan bahwa kelompok ancaman yang didukung Korea Utara, Kimsuky, menggunakan ekstensi browser berbahaya untuk mencuri email dari pengguna Google Chrome atau Microsoft Edge.

Dikutip dari Bleeping Computer, para peneliti melihat kampanye ini pertama kali pada September tahun lalu. ekstensi ini dijuluki SHARPEXT, yang mendukung tiga browser web berbasis Chromium (Chrome, Edge, dan Whale) dan dapat mencuri email dari akun Gmail dan AOL.

Peneliti mengatakan, penyerang memasang ekstensi berbahaya setelah membahayakan sistem target menggunakan skrip VBS khusus. Hal ini dilakukan dengan mengganti file 'Preferensi' dan 'Preferensi Aman' dengan yang diunduh dari server perintah dan kontrol malware. Setelah file preferensi baru diunduh pada perangkat yang terinfeksi, browser web secara otomatis memuat ekstensi SHARPEXT.

"Malware tersebut secara langsung memeriksa dan mengekstrak data dari akun webmail korban saat mereka menjelajahinya," kata peneliti Volexity.

Peneliti menjelaskan, kampanye terbaru ini sejalan dengan serangan Kimsuky sebelumnya karena juga menyebarkan SHARPEXT dalam serangan yang ditargetkan terhadap kebijakan luar negeri, nuklir, dan individu lain yang memiliki kepentingan strategis di Amerika Serikat, Eropa, dan Korea Selatan.

Dengan memanfaatkan sesi target yang sudah masuk untuk mencuri email, serangan tetap tidak terdeteksi oleh penyedia email korban, sehingga membuat deteksi menjadi sangat menantang jika bukan tidak mungkin.

Selain itu, alur kerja ekstensi tidak akan memicu peringatan aktivitas mencurigakan apa pun pada akun korban yang memastikan bahwa aktivitas jahat tidak akan ditemukan dengan memeriksa halaman status akun email web untuk peringatan.

Peneliti mengatakan, ini bukan pertama kalinya grup APT Korea Utara menggunakan ekstensi browser untuk mengambil dan mengekstrak data rahasia dari sistem target yang dilanggar. Seperti yang dikatakan oleh Tim ASERT Netscout pada Desember 2018, kampanye spear-phishing yang diatur oleh Kimsuky mendorong ekstensi Chrome berbahaya setidaknya sejak Mei 2018 dalam serangan yang menargetkan sejumlah besar entitas akademik di berbagai universitas.

CISA juga telah mengeluarkan peringatan yang berfokus pada taktik, teknik, dan prosedur (TTP) kelompok tersebut, yang menyoroti penggunaan ekstensi peramban berbahaya oleh kelompok tersebut untuk mencuri kredensial dan cookie dari peramban web korban.