Onderzoekers hebben een malafide browser-extensie voor Google Chrome, Microsoft Edge en Naver Whale ontdekt waarmee een spionagegroep e-mails uit Gmail-accounts steelt, zo claimt securitybedrijf Volexity. Door op deze manier e-mails te stelen, waarbij er wordt meegelift op de ingelogde sessie van de gebruiker, blijft de aanval verborgen voor Google en is die lastig te detecteren.
Daarnaast ziet de gebruiker niet dat er bijvoorbeeld vanaf een verdacht ip-adres is ingelogd, aangezien de extensie in zijn browser actief is. De aanval wordt uitgevoerd door een groep genaamd Kimsuky, aldus Volexity, dat de extensie ontdekte. Het zou om een Noord-Koreaanse spionagegroep gaan die het heeft voorzien op personen die voor Amerikaanse, Europese en Zuid-Koreaanse organisaties werken die zich bezighouden met Noord-Korea, kernwapens, wapensystemen en andere strategische onderwerpen.
De eerste stap in de aanval is het infecteren van een doelwit met malware. Hiervoor maakt de groep gebruik van spearphishingmails. Eenmaal actief installeert de malware de malafide browser-extensie waarmee er berichten uit Gmail- en AOL-accounts worden gestolen en teruggestuurd naar de aanvallers. Daarbij houdt de extensie een overzicht bij van te negeren e-mailadressen, alsmede al gestolen e-mails en bijlagen.
Volgens Volexity heeft de Kimsuky-groep in het verleden vaker browser-extensies bij aanvallen ingezet, maar waren die bedoeld voor het stelen van gebruikersnamen en wachtwoorden. Nu richt de groep zich specifiek op het stelen van e-mails en is daar zeer succesvol mee, aldus het securitybedrijf. Uit verzamelde logs blijkt dat de aanvallers via de extensie bij meerdere slachtoffers duizenden e-mails wisten te stelen.