Los piratas informáticos respaldados por Corea del Norte tienen una forma inteligente de leer su Gmail

imágenes falsas

Los investigadores han descubierto un malware sin precedentes que los piratas informáticos de Corea del Norte utilizaron para leer y descargar subrepticiamente correos electrónicos y archivos adjuntos de las cuentas de Gmail y AOL de los usuarios infectados.

El malware, que los investigadores de la firma de seguridad Volexity han denominado SHARPEXT, utiliza medios inteligentes para instalar una extensión de navegador para los navegadores Chrome y Edge, dijo Volexity en una publicación de blog. Los servicios de correo electrónico no pueden detectar la extensión, y dado que el navegador ya está autenticado con cualquier protección de autenticación de múltiples factores, esta medida de seguridad cada vez más común no juega ningún papel en frenar la piratería de cuentas.

Volexity dijo que el malware ha estado en uso durante “más de un año” y es obra de un grupo de piratería que la compañía está rastreando con el nombre SharpTongue. El grupo está respaldado por el gobierno de Corea del Norte y se superpone con un grupo que otros investigadores rastrean con el nombre de Kimsuke. SHARPEXT se dirige a organizaciones en los Estados Unidos, Europa y Corea del Sur que trabajan en armas nucleares y otros temas que Corea del Norte considera importantes para su seguridad nacional.

El jefe de Volexity, Stephen Adair, dijo en un correo electrónico que la extensión se instala “mediante phishing e ingeniería social donde se engaña a la víctima para que abra un documento malicioso. Anteriormente, hemos visto a actores de amenazas de la República Popular Democrática de Corea lanzar ataques de phishing selectivo donde El objetivo general es lograr que la víctima instale una extensión del navegador a cambio de que sea un mecanismo posterior a la explotación para la persistencia y el robo de datos”. En su encarnación actual, el malware solo funciona en Windows, pero Adair dijo que no hay razón para que no pueda extenderse para infectar navegadores que se ejecutan en macOS o Linux también.

La publicación del blog agregó: “La propia percepción de Volexity muestra que la extensión ha tenido mucho éxito, con registros obtenidos por Volexity que muestran que el atacante logró robar miles de correos electrónicos de múltiples víctimas mediante la propagación de malware”.

No es fácil instalar una extensión de navegador durante el proceso de phishing sin que el usuario final se dé cuenta. Aparentemente, los desarrolladores de SHARPEXT se han ocupado de investigaciones como las publicadas aquí, aquí y aquí, que muestran cómo un mecanismo de seguridad en el motor del navegador Chromium evita que el malware realice cambios en la configuración confidencial del usuario. Cada vez que se realiza un cambio legítimo, el navegador realiza un hash criptográfico de algún código. Al iniciarse, el navegador busca hashes y, si ninguno de ellos coincide, el navegador solicita restaurar la configuración anterior.

Para que los atacantes eludan esta protección, primero deben extraer lo siguiente de la computadora en la que están en riesgo:

  • Una copia del archivo resources.pak de su navegador (que contiene la semilla HMAC utilizada por Chrome)
  • Valor de S-ID de usuario
  • Archivos de preferencias y preferencias seguras nativas del sistema del usuario

Una vez que se modifican los archivos de preferencias, SHARPEXT carga automáticamente la extensión y ejecuta un script de PowerShell que habilita DevTools, una configuración que permite que el navegador ejecute códigos y configuraciones personalizados.

Volexity explicó: “El script se ejecuta en un bucle infinito para verificar los procesos asociados con los navegadores de destino”. Si se encuentra algún navegador de destino en ejecución, el script verifica el título de la pestaña en busca de una palabra clave específica (por ejemplo, ‘05101190’ o ‘Tab +’ según la versión de SHARPEXT). El malware ingresa la palabra clave especificada en la dirección. La extensión es cuando cambia una pestaña activa o cuando se carga la página”.

viscosidad

Sigue la publicación:

Pulsaciones de teclas enviadas iguales Control+Shift+J, el acceso directo para habilitar el panel DevTools. Finalmente, el script de PowerShell oculta la ventana DevTools recién abierta usando la API ShowWindow() y SW_HIDE Ciencias. Al final de este proceso, DevTools está habilitado en la pestaña activa, pero la ventana está oculta.

Además, este script se usa para ocultar cualquier ventana que pueda alertar a la víctima. Microsoft Edge, por ejemplo, muestra periódicamente un mensaje de advertencia al usuario (Fig. 5) si las extensiones se ejecutan en modo de desarrollador. El script comprueba constantemente si aparece esta ventana y la oculta con un archivo ShowWindow() y el SW_HIDE Ciencias.

viscosidad

Una vez instalada, la extensión puede realizar las siguientes solicitudes:

Datos POST de HTTP una descripcion
modo = menú Enumere el correo electrónico recopilado previamente de la víctima para asegurarse de que no se descarguen duplicados. Esta lista se actualiza constantemente cuando se ejecuta SHARPEXT.
modo = campo Enumere los dominios de correo electrónico que la víctima ya ha contactado. Esta lista se actualiza constantemente cuando se ejecuta SHARPEXT.
modo = negro Recopile una lista negra de remitentes de correo electrónico para ignorar al recopilar correos electrónicos de la víctima.
modo = nuevoD & d =[data] Agregue un dominio a la lista de todos los dominios que la víctima ha visto.
modo = adjuntar & nombre =[data]& identificación =[data]& cuerpo =[data] Cargue un nuevo archivo adjunto al servidor remoto.
modo = nuevo y medio =[data]& cuerpo =[data] Cargue datos de Gmail en el servidor remoto.
modo = al menos Comentó el atacante. Reciba una lista de archivos adjuntos que se filtrarán.
modo = new_aol & mid =[data]& cuerpo =[data] Cargue datos de AOL en el servidor remoto.

SHARPEXT permite a los piratas informáticos crear listas de direcciones de correo electrónico para ignorar y rastrear correos electrónicos o archivos adjuntos que ya han sido robados.

Volexity generó el siguiente resumen de la sincronización de los diversos componentes SHARPEXT que analizó:

viscosidad

La publicación del blog proporciona imágenes, nombres de archivos y otros indicadores que las personas capacitadas pueden usar para determinar si han sido atacados o infectados por este malware. La compañía advirtió que la amenaza que representa ha crecido con el tiempo y es poco probable que desaparezca pronto.

“Cuando Volexity encontró SHARPEXT por primera vez, parecía ser una herramienta en desarrollo temprano que contenía muchos errores, lo que es una indicación de que la herramienta era inmadura”, dijo la compañía. “Las actualizaciones recientes y el mantenimiento continuo muestran que el atacante está logrando sus objetivos y encuentra valor en continuar mejorándolos”.

Leave a Reply

Your email address will not be published. Required fields are marked *