Si tienes esta extensión en Chrome han leído todos tus correos de Gmail

Los intentos de hacerse con nuestros datos por parte de los ciberdelincuentes que operan en internet nos pueden llegar de múltiples formas. Recientemente se ha descubierto una extensión maliciosa que se instala en Google Chrome y que afecta a nuestro correo electrónico.

Os contamos todo esto porque en estos instantes un grupo de atacantes denominado como Kimsuky está utilizando este método que os comentamos. Para llegar hasta nuestros equipos utilizan una extensión de navegador maliciosa que se encarga de robar los correos electrónicos de los usuarios de Google Chrome o Edge. En concreto una vez instalada capacita a estos atacantes a leer nuestros mensajes webmail.

Una vez sabemos de qué se trata, debemos tener presente que la extensión se llama Sharpext y la detectaron unos investigadores de Volexity. Decir que es compatible con tres navegadores web basados en el motor Chromium: Chrome, Edge y Whale. A su vez Está capacitada para robar nuestro correo de las cuentas de Gmail y AOL. Una vez se ha instalado la extensión maliciosa, compromete el sistema utilizando un script VBS personalizado. Aquí se sustituyen los archivos Preferences y Secure Preferences por otros descargados desde el servidor de control del malware.

Una vez descargados los nuevos archivos que os comentamos en el equipo infectado, el navegador web carga automáticamente la extensión Sharpext . A continuación, el malware analiza y filtra directamente los datos de la cuenta de correo web de la víctima mientras nos movemos por la misma. De hecho, podemos afirmar que con el tiempo la extensión ha evolucionado y actualmente se encuentra en la versión 3.0.

Sharpext , la extensión de Chrome que roba el correo

A todo lo comentado le podemos sumar que debido aquí la extensión aprovecha la sesión ya iniciada para robar correos electrónicos, el ataque pasa desapercibido. Todo ello es algo que se hace extensible tanto para el propio proveedor de correo como para la víctima. En resumidas cuentas, su modo de funcionamiento hace que su detección sea muy difícil, casi imposible. Al mismo tiempo es importante saber que el flujo de trabajo de la extensión no activará ninguna alerta de actividad sospechosa en las cuentas de correo.


De este modo se garantiza que la actividad maliciosa no se dará a conocer al comprobar la página de estado de la cuenta en busca de posibles alertas. Como os podréis imaginar, este comportamiento hace que el ataque sea aún más peligroso y efectivo para los interesados en hacerse con nuestros mensajes. Además, la misma extensión de Chrome se encarga de listar los correos recopilados de la víctima para que no se carguen duplicados.

Asimismo, escanea los dominios con los que nos hemos comunicado previamente y se crea una lista negra de remitentes que deben ser ignorados al recopilar estos correos. Por otro lado, el ataque añade un nuevo dominio a la lista de los correo ya vistos y carga un nuevo archivo adjunto en el servidor remoto. Hay que comentar que esta no es la primera vez que este grupo norcoreano utiliza extensiones de navegador para recoger y extraer datos confidenciales de los sistemas vulnerados, por lo que ya tiene experiencia.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta