Gmail : ce malware permet à des pirates nord-coréens d’espionner votre compte

SHARPEXT est un malware nord-coréen qui vise des organisations occidentales et sud-coréennes très sensibles. Il permet de lire les emails d'un compte Gmail sur des navigateurs populaires comme Chrome et Edge.

piratage gmail
Crédit : Stillness InMotion via Unsplash

Des chercheurs en cybersécurité de la société spécialisée Volexity ont découvert un malware activement exploité par des pirates originaires de Corée du Nord. Le logiciel malveillant permet aux hackers de lire et télécharger des emails et pièces jointes de comptes Gmail et AOL.

Baptisé SHARPEXT, ce malware infecte des machines par le biais d'extension pour les navigateurs Google Chrome, Microsoft Edge et Whale Browser. Cette extension n'est pas détectée comme mal intentionnée par les plateformes de messagerie visées et peut commencer son travail dès lors qu'elle est installée. Jusqu'ici, le malware ne fonctionne que sur Windows, mais il pourrait être étendu à Linux et macOS à tout moment.

Un malware discret qui cible Gmail et AOL sur Windows

D'après les experts à l'origine de l'identification de SHARPEXT, le malware a été utilisé depuis plus d'un an par un groupe de pirates connu sous le nom de SharpTongue. Celui-ci serait soutenu et financé par la Corée du Nord et proche d'un autre groupe de hackers nord-coréens : Kimsuky.

SHARPEXT vise spécifiquement des organisations aux États-Unis, en Europe et en Corée du Sud travaillant sur des projets liés aux armes nucléaires ou à d'autres secteurs d'intérêt pour la Corée du Nord. Depuis le déploiement du malware, plusieurs milliers d'adresses email auraient été piratés, estime Volexity.

Crédit : Volexity

L'extension s'installe automatiquement après l'ouverture d'un document vérolé, il n'y a pas besoin qu'elle soit manuellement téléchargée par la victime. L'utilisateur ne se rend même pas compte qu'une extension s'est installée. Les pirates parviennent à déjouer les mécanismes de sécurité du moteur Chromium en extrayant plusieurs éléments de l'ordinateur infecté :

  • Une copie du fichier resources.pak du navigateur, qui contient le code HMAC
  • L'identifiant de sécurité de l'utilisateur
  • Les fichiers originaux de préférences et de préférences de sécurité du système

Grâce à cela, SHARPEXT va pouvoir télécharger l'extension en toute discrétion, exécuter un script PowerShell pour activer DevTools, et exécuter du code. Le script est conçu pour cacher les fenêtres d'avertissement des navigateurs lorsqu'une extension s'exécute en mode développeur.

Source : Volexity

 


La rédaction vous conseille aussi...

Abonnez-vous gratuitement à la newsletter

Chaque jour, le meilleur de Phonandroid dans votre boite mail !

Réagissez à cet article !

Demandez nos derniers articles !

Garmin Forerunner 255 : la montre GPS multisport passe sous les 160 €

La Garmin Forerunner 255, toujours aussi populaire, voit son prix chuter au plus bas. Pendant quelques heures encore, AliExpress la propose sous la barre des 160 €. Découvrir l’offre sur…

Le PS Store de la PS5 affiche des prix différents pour le même jeu si vous êtes connecté à votre compte PlayStation ou non

Un mécanisme de tarification dynamique sur le PS Store modifie les prix des jeux selon certains critères. L’un d’entre eux semble être la connexion ou non à un compte PlayStation…

Le câble inclus avec le Galaxy S26 Ultra n’est pas compatible avec la charge rapide du smartphone

Pour recharger le Galaxy S26 Ultra à pleine vitesse, il ne faut pas utiliser le câble inclus dans la boîte du smartphone. Tout cela n’est pas très intuitif, Samsung.  Certains…

Orange a trouvé la solution contre le spam : l’opérateur va afficher le nom de celui qui appelle

Orange dévoile sa technologie Branded Calling, qui affiche le nom de l’entreprise appelante sur l’écran du destinataire. L’utilisateur pourra ainsi identifier s’il s’agit d’un spam ou s’il souhaite répondre à…

Une sortie dès 2027 pour la PS6 ? La retarder coûterait plus cher à Sony que de payer la RAM au prix fort

La sortie de la PS6 ne serait pas retardée à 2028 ou 2029, comme le clament certaines sources. Malgré la crise de la RAM et du stockage que l’on connaît,…

Ce mail vous paraît louche ? ChatGPT peut vous dire si c’est une arnaque, on vous explique tout

En plus de répondre à toutes vos questions et de vous aider dans de nombreuses situations, savez-vous que ChatGPT peut également devenir un rempart contre les arnaques en ligne ?…

Le Redmi Note 15 Pro 5G perd 191 € sur son prix : une offre flash difficile à ignorer

Le Redmi Note 15 Pro 5G devient beaucoup plus abordable grâce à cette offre à durée limitée. Le smartphone milieu de gamme sorti il y a quelques semaines est actuellement…

Et si la vie sur Terre venait en réalité de Mars ? Cette étude relance une théorie fascinante

Des milliards d’années avant l’apparition de la vie sur Terre, Mars possédait peut-être des lacs et des océans. Certains scientifiques pensent aujourd’hui que des microbes auraient pu voyager entre les…

Samsung partage les premiers détails sur ses lunettes connectées IA et vise un lancement dès 2026

Samsung confirme qu’il ambitionne de lancer sur le marché des lunettes connectées IA dès cette année et dévoile de premières informations à leur sujet. En octobre dernier, Samsung lançait son…

Nouveau prix bas record pour ce airfryer Ninja à double compartiment de 9,5 L, c’est le moment d’en profiter !

Si vous souhaitez acheter une grande friteuse sans huile pour cuisiner pour toute la famille, ce bon plan est fait pour vous. Avec sa capacité totale de 9,5 L, ce…