Un actor de amenazas que opera con intereses alineados con Corea del Norte ha estado implementando una extensi\u00f3n maliciosa en navegadores web basados \u200b\u200ben Chromium que es capaz de robar contenido de correo electr\u00f3nico de Gmail y AOL.<\/p>\n
La firma de ciberseguridad Volexity atribuy\u00f3 el malware a un grupo de actividad que llama Lengua afilada<\/strong>que se dice que comparte superposiciones con un colectivo adversario<\/a> referido p\u00fablicamente bajo el nombre de Kimsuky.<\/p>\n SharpTongue tiene un historial de se\u00f1alar a personas que trabajan para organizaciones en los EE. UU., Europa y Corea del Sur que “trabajan en temas relacionados con Corea del Norte, cuestiones nucleares, sistemas de armas y otros asuntos de inter\u00e9s estrat\u00e9gico para Corea del Norte”, los investigadores Paul Rascagneres y Tomas Lancaster dijo<\/a>.<\/p>\n kimsuky<\/a>El uso de extensiones no autorizadas en los ataques no es nuevo. En 2018, el actor vio un complemento de Chrome como parte de una campa\u00f1a llamada L\u00e1piz robado<\/a> para infectar a las v\u00edctimas y robar las cookies y contrase\u00f1as del navegador.<\/p>\n Pero el \u00faltimo esfuerzo de espionaje es diferente porque emplea la extensi\u00f3n, llamada Sharpext, para saquear datos de correo electr\u00f3nico. “El malware inspecciona y extrae datos directamente de la cuenta de correo web de la v\u00edctima mientras la navega”, se\u00f1alaron los investigadores.<\/p>\n Los navegadores objetivo incluyen Google Chrome, Microsoft Edge y los navegadores Whale de Naver, con el malware de robo de correo dise\u00f1ado para recopilar informaci\u00f3n de las sesiones de Gmail y AOL.<\/p>\n La instalaci\u00f3n del complemento se logra mediante la sustituci\u00f3n del navegador Preferencias y Preferencias seguras<\/a> archivos con los recibidos de un servidor remoto luego de una violaci\u00f3n exitosa de un sistema Windows de destino.<\/p>\n Este paso se logra habilitando el Panel de herramientas de desarrollo<\/a> dentro de la pesta\u00f1a activa para robar correo electr\u00f3nico y archivos adjuntos del buz\u00f3n de correo de un usuario, al mismo tiempo que toma medidas para ocultar cualquier mensajes de advertencia<\/a> sobre la ejecuci\u00f3n de extensiones de modo de desarrollador.<\/p>\n “Esta es la primera vez que Volexity observa extensiones de navegador maliciosas utilizadas como parte de la fase posterior a la explotaci\u00f3n de un compromiso”, dijeron los investigadores. “Al robar datos de correo electr\u00f3nico en el contexto de la sesi\u00f3n de un usuario que ya ha iniciado sesi\u00f3n, el ataque se oculta para el proveedor de correo electr\u00f3nico, lo que dificulta la detecci\u00f3n”.<\/p>\n Los hallazgos llegan varios meses despu\u00e9s de que el actor de Kimsuky fuera conectado a intrusiones contra instituciones pol\u00edticas ubicadas en Rusia y Corea del Sur para entregar una versi\u00f3n actualizada de un troyano de acceso remoto conocido como Konni.<\/p>\n La semana pasada, la firma de seguridad cibern\u00e9tica Securonix puso fin a una campa\u00f1a de ataque en curso que explota objetivos de alto valor, incluidos la Rep\u00fablica Checa, Polonia y otros pa\u00edses, como parte de una campa\u00f1a con nombre en c\u00f3digo STIFF#BIZON para distribuir el malware Konni.<\/p>\n Si bien las t\u00e1cticas y herramientas utilizadas en las intrusiones apuntan a un grupo de pirater\u00eda de Corea del Norte llamado APT37, la evidencia recopilada relacionada con la infraestructura de ataque sugiere la participaci\u00f3n del actor APT28 (tambi\u00e9n conocido como Fancy Bear o Sofacy) alineado con Rusia.<\/p>\n “Al final, lo que hace que este caso en particular sea interesante es el uso del malware Konni junto con las similitudes comerciales con APT28”, dijeron los investigadores. dijo<\/a>agregando que podr\u00eda ser el caso de un grupo disfrazado de otro para confundir la atribuci\u00f3n y escapar de la detecci\u00f3n.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/Un-nuevo-estudio-encuentra-que-la-mayoria-de-los-proveedores.png\")
<\/a><\/div>\n![\"Extensi\u00f3n](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1659165739_820_Hackers-de-Corea-del-Norte-utilizan-extension-de-navegador-malicioso.jpg\" "\\"Extensi\u00f3n")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\")
<\/a><\/div>\n