Un actor de amenazas que opera con intereses alineados con Corea del Norte ha estado implementando una extensión maliciosa en navegadores web basados en Chromium que es capaz de robar contenido de correo electrónico de Gmail y AOL.
La firma de ciberseguridad Volexity atribuyó el malware a un grupo de actividad que llama Lengua afiladaque se dice que comparte superposiciones con un colectivo adversario referido públicamente bajo el nombre de Kimsuky.
SharpTongue tiene un historial de señalar a personas que trabajan para organizaciones en los EE. UU., Europa y Corea del Sur que «trabajan en temas relacionados con Corea del Norte, cuestiones nucleares, sistemas de armas y otros asuntos de interés estratégico para Corea del Norte», los investigadores Paul Rascagneres y Tomas Lancaster dijo.
kimsukyEl uso de extensiones no autorizadas en los ataques no es nuevo. En 2018, el actor vio un complemento de Chrome como parte de una campaña llamada Lápiz robado para infectar a las víctimas y robar las cookies y contraseñas del navegador.
Pero el último esfuerzo de espionaje es diferente porque emplea la extensión, llamada Sharpext, para saquear datos de correo electrónico. «El malware inspecciona y extrae datos directamente de la cuenta de correo web de la víctima mientras la navega», señalaron los investigadores.
Los navegadores objetivo incluyen Google Chrome, Microsoft Edge y los navegadores Whale de Naver, con el malware de robo de correo diseñado para recopilar información de las sesiones de Gmail y AOL.
La instalación del complemento se logra mediante la sustitución del navegador Preferencias y Preferencias seguras archivos con los recibidos de un servidor remoto luego de una violación exitosa de un sistema Windows de destino.
Este paso se logra habilitando el Panel de herramientas de desarrollo dentro de la pestaña activa para robar correo electrónico y archivos adjuntos del buzón de correo de un usuario, al mismo tiempo que toma medidas para ocultar cualquier mensajes de advertencia sobre la ejecución de extensiones de modo de desarrollador.
«Esta es la primera vez que Volexity observa extensiones de navegador maliciosas utilizadas como parte de la fase posterior a la explotación de un compromiso», dijeron los investigadores. «Al robar datos de correo electrónico en el contexto de la sesión de un usuario que ya ha iniciado sesión, el ataque se oculta para el proveedor de correo electrónico, lo que dificulta la detección».
Los hallazgos llegan varios meses después de que el actor de Kimsuky fuera conectado a intrusiones contra instituciones políticas ubicadas en Rusia y Corea del Sur para entregar una versión actualizada de un troyano de acceso remoto conocido como Konni.
La semana pasada, la firma de seguridad cibernética Securonix puso fin a una campaña de ataque en curso que explota objetivos de alto valor, incluidos la República Checa, Polonia y otros países, como parte de una campaña con nombre en código STIFF#BIZON para distribuir el malware Konni.
Si bien las tácticas y herramientas utilizadas en las intrusiones apuntan a un grupo de piratería de Corea del Norte llamado APT37, la evidencia recopilada relacionada con la infraestructura de ataque sugiere la participación del actor APT28 (también conocido como Fancy Bear o Sofacy) alineado con Rusia.
«Al final, lo que hace que este caso en particular sea interesante es el uso del malware Konni junto con las similitudes comerciales con APT28», dijeron los investigadores. dijoagregando que podría ser el caso de un grupo disfrazado de otro para confundir la atribución y escapar de la detección.