Los piratas informáticos respaldados por Corea del Septentrión tienen una forma inteligente de acertar su Gmail

Los piratas informáticos respaldados por Corea del Norte tienen una forma inteligente de leer su Gmail

imágenes falsas

Los investigadores han descubierto un malware sin precedentes que los piratas informáticos de Corea del Norte han estado utilizando para leer y descargar sigilosamente correos electrónicos y archivos adjuntos de las cuentas de Gmail y AOL de los usuarios infectados.

El malware, denominado SHARPEXT por los investigadores de la firma de seguridad Volexity, utiliza métodos inteligentes para instalar una extensión de navegador para los navegadores Chrome y Edge, informó Volexity en un comunicado. publicaciones de blog. Los servicios de correo electrónico no pueden detectar la extensión, y dado que el navegador ya está autenticado mediante las protecciones de autenticación multifactor existentes, esta medida de seguridad cada vez más popular no juega ningún papel en frenar el compromiso de la cuenta.

El malware ha estado en uso durante “más de un año”, dijo Volexity, y es obra de un grupo de hackers que la compañía rastrea como SharpTongue. El grupo está patrocinado por el gobierno de Corea del Norte y se superpone con un el grupo es rastreado como Kimsuky por otros investigadores. SHARPEXT apunta a organizaciones en los EE. UU., Europa y Corea del Sur que trabajan en armas nucleares y otros temas que Corea del Norte considera importantes para su seguridad nacional.

El presidente de Volexity, Steven Adair, dijo en un correo electrónico que el complemento se instala “a través de spear phishing e ingeniería social donde se engaña a la víctima para que abra un documento malicioso. En el pasado, hemos visto a actores de amenazas de Corea del Norte lanzar ataques de spear phishing donde todo el propósito era hacer que la víctima instalara un complemento del navegador frente a un mecanismo posterior a la explotación para la persistencia y el robo de datos”. En su encarnación actual, el malware solo funciona en Windows, pero Adair dijo que no hay razón para que no pueda expandirse para infectar navegadores que se ejecutan en macOS o Linux también.

La publicación del blog agregó: “La propia visibilidad de Volexity muestra que el complemento ha tenido bastante éxito, ya que los registros obtenidos por Volexity muestran que el atacante pudo robar con éxito miles de correos electrónicos de múltiples víctimas a través de la implementación del malware”.

No es fácil instalar una extensión de navegador durante una operación de phishing sin que el usuario final se dé cuenta. Los desarrolladores de SHARPEXT claramente han prestado atención a investigaciones como la publicada aquí, aquíy aquí, que muestra cómo un mecanismo de seguridad en el motor del navegador Chromium evita que el malware realice cambios en la configuración confidencial del usuario. Cada vez que se realiza un cambio legítimo, el navegador realiza un hash criptográfico de un fragmento de código. Al iniciarse, el navegador verifica los hash y, si alguno de ellos no coincide, el navegador solicita que se restablezca la configuración anterior.

Para que los atacantes eludan esta protección, primero deben extraer lo siguiente de la computadora que están comprometiendo:

  • Una copia del archivo resources.pak del navegador (que contiene la semilla HMAC utilizada por Chrome)
  • del usuario valor S-ID
  • La configuración inicial y la configuración segura del sistema del usuario

Después de modificar los archivos de configuración, SHARPEXT carga automáticamente la extensión y ejecuta un script de PowerShell que habilita DevTools, una configuración que permite que el navegador ejecute código y configuraciones personalizados.

“El script se ejecuta en un bucle infinito, buscando procesos asociados con los navegadores objetivo”, explicó Volexity. “Si se encuentra algún navegador objetivo ejecutándose, el script verifica el título de la pestaña en busca de una palabra clave específica (por ejemplo, ‘05101190’ o ‘Tab+’ según la versión de SHARPEXT). La palabra clave específica se inserta en el título de la extensión maliciosa. cuando cambia una pestaña activa o cuando se carga una página”.

Volexidad

La publicación continuó:

Las pulsaciones enviadas corresponden Control+Shift+J, el atajo para activar el panel DevTools. Finalmente, el script de PowerShell oculta la ventana DevTools recién abierta usando Mostrar ventana () API y eso SW_HIDE bandera. Al final de este proceso, DevTools está habilitado en la pestaña activa, pero la ventana está oculta.

Además, este script se usa para ocultar cualquier ventana que pueda alertar a la víctima. Microsoft Edge, por ejemplo, muestra regularmente un mensaje de advertencia al usuario (Figura 5) si las extensiones se ejecutan en modo de desarrollador. El script comprueba constantemente si se muestra esta ventana y la oculta mediante el uso de ShowWindow() y eso SW_HIDE bandera.

Volexidad

Una vez instalada, la extensión puede realizar las siguientes solicitudes:

Datos POST de HTTP Descripción
modo=lista Enumere los correos electrónicos de las víctimas recopilados anteriormente para asegurarse de que no se carguen duplicados. Esta lista se actualiza continuamente cuando SHARPEXT se está ejecutando.
ubicación=dominio Enumere los dominios de correo electrónico con los que la víctima se ha comunicado previamente. Esta lista se actualiza continuamente cuando SHARPEXT se está ejecutando.
modo=negro Compile una lista negra de remitentes de correo electrónico que deben ignorarse al recopilar correos electrónicos de la víctima.
modo=nuevoD&d=[data] Agregue un dominio a la lista de todos los dominios vistos por la víctima.
modo=adjuntar&nombre=[data]&idx=[data]&cuerpo=[data] Cargue un nuevo archivo adjunto al servidor remoto.
modo = nuevo y medio =[data]&cuerpo=[data] Cargue datos de Gmail en el servidor remoto.
moda=atlist Comentado por el atacante; obtener una lista de archivos adjuntos para ser exfiltrados.
modo=nuevo_aol&mid=[data]&cuerpo=[data] Cargue datos de AOL en el servidor remoto.

SHARPEXT permite a los piratas informáticos crear listas de direcciones de correo electrónico para ignorar y rastrear correos electrónicos o archivos adjuntos que ya han sido robados.

Volexity creó el siguiente resumen de la orquestación de los diversos componentes de SHARPEXT que analizó:

Volexidad

La publicación del blog contiene imágenes, nombres de archivos y otros indicadores que las personas capacitadas pueden usar para determinar si han sido infectados o infectados por este malware. La compañía advirtió que la amenaza que representa ha crecido con el tiempo y es poco probable que desaparezca pronto.

“Cuando Volexity encontró SHARPEXT por primera vez, parecía ser una herramienta en desarrollo temprano que contenía muchos errores, una indicación de que la herramienta era inmadura”, dijo la compañía. “Las actualizaciones recientes y el mantenimiento continuo muestran que el atacante está logrando sus objetivos y encuentra valor en continuar perfeccionándolo”.

Leave a Comment