0
0
Hackers que atuam junto com a Coreia do Norte estão estabelecendo uma extensão ardilosa em navegadores com base no Chromium, com a qual é possível roubar conteúdos de e-mails do Gmail e da AOL. A corporação de segurança cibernética Volexity conectou o malware a um cluster de atividades chamado SharpTongue, que supostamente compartilha sobreposições com vários inimigos conhecidos de Kimsuky .
A SharpTongue é famosa por conseguir evidenciar hackers que colaboram para organizações nos EUA, Europa e Coréia do Sul que “trabalham em tópicos envolvendo a Coréia do Norte, questões nucleares, sistemas de armas e outros assuntos de interesse estratégico para a Coréia do Norte”, relatou os pesquisadores Paul Rascagneres e Thomas Lancaster.
É indiscutível que a utilização de extensões de navegadores não autorizados por Kimsuky para ataques não é algo novo. Em 2018, foi descoberto o uso de um plug-in do Chrome como parte de uma campanha chamada Stolen Pencil para corromper arquivos das vítimas e roubar cookies e senhas do navegador.
Porém, o ataque de agora é diferente, já que utiliza uma extensão, nomeada de Sharpext, para roubar informações de e-mail. “O malware inspeciona e extrai dados diretamente da conta de webmail da vítima enquanto ela navega”, comentam os pesquisadores.
Os sites adulterados são os do Google Chrome, Microsoft Edge e Naver’s Whale, com o malware de roubo de correio projetado para coletar informações das sessões do Gmail e AOL.
A instalação do add-on é realizada por meio da substituição dos arquivos Preferences e Secure Preferences do navegador por aqueles recebidos de um servidor remoto após uma violação bem-sucedida de um sistema Windows de destino.
E a fase possui êxito quando é liberado o sistema de DevTools na guia ativa. Isso permite que ele roube e-mails e anexos da caixa de correio de um cidadão, na mesma hora que realiza fases para esconder quaisquer mensagens de aviso sobre a execução de extensões do modo de desenvolvedor.
A Volexity descreveu a ação como “bastante bem-sucedida”, expondo a habilidade do hacker de “roubar milhares de e-mails de diversos usuários por meio da inserção de malware”.
Pesquisadores relataram que “esta é a primeira vez que a Volexity observou extensões de navegador maliciosas usadas como parte da fase de pós-exploração de um comprometimento. Ao roubar dados de e-mail no contexto de uma sessão já logada de um usuário, o ataque é ocultado do provedor de e-mail, tornando a detecção muito desafiadora”.
Apesar das estratégias e métodos utilizados nos cibercrimes indicar para um grupo de hackers norte-coreano nomeado de APT37, provas arrecadadas referentes à infraestrutura de crime insinuam o envolvimento do APT28 alinhado à Rússia (também conhecido como Fancy Bear ou Sofacy).
“No final, o que torna esse caso específico interessante é o uso do malware Konni em conjunto com semelhanças de tradecraft com o APT28”, finalizaram os pesquisadores, acrescentando que pode ser o caso de um grupo se disfarçando de outro para confundir a atribuição e escapar da detecção.
FONTE: OLHAR DIGITAL