Un grupo de amenazas respaldado por Corea del Norte rastreado como Kimsuky está usando una extensión de navegador malicioso para robar correos electrónicos de los usuarios de Google Chrome o Microsoft Edge que leen su correo web.
La extensión, denominada SHARPEXT por los investigadores de Volexity que detectaron esta campaña en septiembre, admite tres navegadores web basados en Chromium (Chrome, Edge y Whale) y puede robar correo de cuentas de Gmail y AOL.
Los atacantes instalan la extensión maliciosa después de comprometer el sistema de un objetivo utilizando un script VBS personalizado al reemplazar los archivos de ‘Preferencias’ y ‘Preferencias seguras’ con los descargados del servidor de comando y control del malware.
Una vez que los nuevos archivos de preferencias se descargan en el dispositivo infectado, el navegador web carga automáticamente la extensión SHARPEXT.
“El malware inspecciona y filtra directamente los datos de la cuenta de correo web de la víctima mientras la navega”, dijo Volexity el jueves.
“Desde su descubrimiento, la extensión ha evolucionado y actualmente se encuentra en la versión 3.0, basada en el sistema de control de versiones interno”.
Como reveló Volexity hoy, esta última campaña se alinea con los ataques anteriores de Kimsuky, ya que también despliega SHARPEXT “en ataques dirigidos contra la política exterior, la energía nuclear y otras personas de interés estratégico” en los Estados Unidos, Europa y Corea del Sur.
Ataques sigilosos y altamente efectivos.
Al aprovechar la sesión ya iniciada del objetivo para robar correos electrónicos, el proveedor de correo electrónico de la víctima no detecta el ataque, lo que hace que la detección sea muy desafiante, si no imposible.
Además, el flujo de trabajo de la extensión no activará ninguna alerta de actividad sospechosa en las cuentas de las víctimas, lo que garantiza que la actividad maliciosa no se descubra al consultar la página de estado de la cuenta de correo web en busca de alertas.
Los actores de amenazas de Corea del Norte pueden usar SHARPEXT para recopilar una amplia gama de información mediante comandos que:
– Enumera los correos electrónicos recopilados previamente de la víctima para asegurarse de que no se carguen duplicados. Esta lista se actualiza continuamente a medida que se ejecuta SHARPEXT.
– Enumera los dominios de correo electrónico con los que la víctima se ha comunicado previamente. Esta lista se actualiza continuamente a medida que se ejecuta SHARPEXT.
– Recopila una lista negra de remitentes de correo electrónico que deben ignorarse al recopilar correos electrónicos de la víctima.
– Agregar un dominio a la lista de todos los dominios vistos por la víctima.
– Cargar un nuevo archivo adjunto al servidor remoto.
– Cargar datos de Gmail en el servidor remoto.
– Recibir una lista de archivos adjuntos para ser exfiltrados.
-Cargar datos de AOL en el servidor remoto.
Esta no es la primera vez que el grupo APT de Corea del Norte utiliza extensiones de navegador para recopilar y filtrar datos confidenciales de los sistemas violados de los objetivos.
Como dijo el equipo ASERT de Netscout en diciembre de 2018, una campaña de phishing dirigido por Kimsuky impulsó una extensión maliciosa de Chrome desde al menos mayo de 2018 en ataques dirigidos a una gran cantidad de entidades académicas en múltiples universidades.
