{"id":285990,"date":"2022-07-30T04:53:34","date_gmt":"2022-07-30T06:53:34","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-nord-coreens-utilisent-une-extension-de-navigateur-malveillante-pour-espionner-des-comptes-de-messagerie\/"},"modified":"2022-07-30T04:53:36","modified_gmt":"2022-07-30T06:53:36","slug":"des-pirates-nord-coreens-utilisent-une-extension-de-navigateur-malveillante-pour-espionner-des-comptes-de-messagerie","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-nord-coreens-utilisent-une-extension-de-navigateur-malveillante-pour-espionner-des-comptes-de-messagerie\/","title":{"rendered":"Des pirates nord-cor\u00e9ens utilisent une extension de navigateur malveillante pour espionner des comptes de messagerie"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un acteur mena\u00e7ant op\u00e9rant avec des int\u00e9r\u00eats align\u00e9s sur la Cor\u00e9e du Nord a d\u00e9ploy\u00e9 une extension malveillante sur les navigateurs Web bas\u00e9s sur Chromium, capable de voler le contenu des e-mails de Gmail et AOL.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Volexity a attribu\u00e9 le malware \u00e0 un cluster d&#8217;activit\u00e9s qu&#8217;elle appelle <strong>Langue de vip\u00e8re<\/strong>dont on dit qu&#8217;il partage des chevauchements avec un <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/alerts\/aa20-301a\" target=\"_blank\">collectif contradictoire<\/a> publiquement d\u00e9sign\u00e9 sous le nom de Kimsuky.<\/p>\n<p>SharpTongue a l&#8217;habitude de distinguer les personnes travaillant pour des organisations aux \u00c9tats-Unis, en Europe et en Cor\u00e9e du Sud qui &#8220;travaillent sur des sujets impliquant la Cor\u00e9e du Nord, les questions nucl\u00e9aires, les syst\u00e8mes d&#8217;armes et d&#8217;autres questions d&#8217;int\u00e9r\u00eat strat\u00e9gique pour la Cor\u00e9e du Nord&#8221;, les chercheurs Paul Rascagneres et Thomas Lancastre <a rel=\"nofollow noopener\" href=\"https:\/\/www.volexity.com\/blog\/2022\/07\/28\/sharptongue-deploys-clever-mail-stealing-browser-extension-sharpext\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.huntress.com\/blog\/targeted-apt-activity-babyshark-is-out-for-blood\" target=\"_blank\">Kimsuky<\/a>L&#8217;utilisation d&#8217;extensions escrocs dans les attaques n&#8217;est pas nouvelle.  En 2018, l&#8217;acteur voyait un plugin Chrome dans le cadre d&#8217;une campagne appel\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/www.netscout.com\/blog\/asert\/stolen-pencil-campaign-targets-academia\" target=\"_blank\">Crayon vol\u00e9<\/a> pour infecter les victimes et voler les cookies et les mots de passe du navigateur.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/Une-nouvelle-etude-revele-que-la-plupart-des-fournisseurs-dentreprise.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Mais le dernier effort d&#8217;espionnage est diff\u00e9rent en ce sens qu&#8217;il utilise l&#8217;extension, nomm\u00e9e Sharpext, pour piller les donn\u00e9es de messagerie.  &#8220;Le logiciel malveillant inspecte et exfiltre directement les donn\u00e9es du compte de messagerie Web d&#8217;une victime lorsqu&#8217;elle le parcourt&#8221;, ont not\u00e9 les chercheurs.<\/p>\n<p>Les navigateurs cibl\u00e9s incluent les navigateurs Google Chrome, Microsoft Edge et Naver&#8217;s Whale, avec le logiciel malveillant de vol de courrier con\u00e7u pour collecter des informations \u00e0 partir des sessions Gmail et AOL.<\/p>\n<p>L&#8217;installation du module compl\u00e9mentaire s&#8217;effectue en rempla\u00e7ant le navigateur <a rel=\"nofollow noopener\" href=\"https:\/\/forensicswiki.xyz\/page\/Google_Chrome\" target=\"_blank\">Pr\u00e9f\u00e9rences et pr\u00e9f\u00e9rences s\u00e9curis\u00e9es<\/a> fichiers avec ceux re\u00e7us d&#8217;un serveur distant suite \u00e0 une violation r\u00e9ussie d&#8217;un syst\u00e8me Windows cible.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Extension de navigateur malveillante\" border=\"0\" data-original-height=\"652\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1659164014_65_Des-pirates-nord-coreens-utilisent-une-extension-de-navigateur-malveillante-pour.jpg\" title=\"Extension de navigateur malveillante\" \/><\/div>\n<p>Cette \u00e9tape est r\u00e9ussie en activant le <a rel=\"nofollow noopener\" href=\"https:\/\/developer.chrome.com\/docs\/devtools\/\" target=\"_blank\">Panneau DevTools<\/a> dans l&#8217;onglet actif pour voler les e-mails et les pi\u00e8ces jointes de la bo\u00eete aux lettres d&#8217;un utilisateur, tout en prenant simultan\u00e9ment des mesures pour masquer tout <a rel=\"nofollow noopener\" href=\"https:\/\/www.ghacks.net\/2017\/07\/04\/hide-chromes-disable-developer-mode-extensions-warning\/\" target=\"_blank\">messages d&#8217;avertissement<\/a> sur l&#8217;ex\u00e9cution des extensions en mode d\u00e9veloppeur.<\/p>\n<p>&#8220;C&#8217;est la premi\u00e8re fois que Volexity observe des extensions de navigateur malveillantes utilis\u00e9es dans le cadre de la phase de post-exploitation d&#8217;un compromis&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;En volant des donn\u00e9es de messagerie dans le contexte d&#8217;une session d\u00e9j\u00e0 connect\u00e9e d&#8217;un utilisateur, l&#8217;attaque est cach\u00e9e au fournisseur de messagerie, ce qui rend la d\u00e9tection tr\u00e8s difficile.&#8221;<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Les d\u00e9couvertes arrivent plusieurs mois apr\u00e8s que l&#8217;acteur Kimsuky a \u00e9t\u00e9 connect\u00e9 \u00e0 des intrusions contre des institutions politiques situ\u00e9es en Russie et en Cor\u00e9e du Sud pour livrer une version mise \u00e0 jour d&#8217;un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance connu sous le nom de Konni.<\/p>\n<p>La semaine derni\u00e8re, la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Securonix a d\u00e9voil\u00e9 une campagne d&#8217;attaque en cours exploitant des cibles de grande valeur, notamment la R\u00e9publique tch\u00e8que, la Pologne et d&#8217;autres pays, dans le cadre d&#8217;une campagne baptis\u00e9e STIFF#BIZON pour distribuer le malware Konni.<\/p>\n<p>Alors que les tactiques et les outils utilis\u00e9s dans les intrusions indiquent un groupe de piratage nord-cor\u00e9en appel\u00e9 APT37, les preuves recueillies concernant l&#8217;infrastructure d&#8217;attaque sugg\u00e8rent l&#8217;implication de l&#8217;acteur APT28 align\u00e9 sur la Russie (alias Fancy Bear ou Sofacy).<\/p>\n<p>&#8220;En fin de compte, ce qui rend ce cas particulier int\u00e9ressant, c&#8217;est l&#8217;utilisation du malware Konni en conjonction avec des similitudes commerciales avec APT28&#8221;, ont d\u00e9clar\u00e9 les chercheurs. <a rel=\"nofollow noopener\" href=\"https:\/\/www.securonix.com\/blog\/stiffbizon-detection-new-attack-campaign-observed\/\" target=\"_blank\">a dit<\/a>ajoutant qu&#8217;il pourrait s&#8217;agir d&#8217;un groupe se faisant passer pour un autre afin de confondre attribution et \u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/north-korean-hackers-using-malicious.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un acteur mena\u00e7ant op\u00e9rant avec des int\u00e9r\u00eats align\u00e9s sur la Cor\u00e9e du Nord a d\u00e9ploy\u00e9 une extension malveillante sur les navigateurs Web bas\u00e9s sur Chromium, capable de voler le contenu des e-mails de Gmail et AOL. La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Volexity a attribu\u00e9 le malware \u00e0 un cluster d&#8217;activit\u00e9s qu&#8217;elle appelle Langue de vip\u00e8redont on [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":285991,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,4493,4158,4165,4161,133,36098,17228,4157,4159,4171,4170,4167,45272,6817,4160,1281,24722,4163,4162,4394,185,4172,4169,196,10784,4166,4164],"class_list":["post-285990","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-comptes","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-espionner","tag-extension","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-malveillante","tag-messagerie","tag-mises-a-jour-de-la-cybersecurite","tag-navigateur","tag-nordcoreens","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-pour","tag-securite-informatique","tag-securite-internet","tag-une","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/285990","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=285990"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/285990\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/285991"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=285990"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=285990"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=285990"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}