Los piratas informáticos respaldados por Corea del Norte tienen una forma inteligente de leer su Gmail

imágenes falsas

Los investigadores han descubierto un malware nunca antes visto que los piratas informáticos de Corea del Norte utilizaron para leer y descargar en secreto correos electrónicos y archivos adjuntos de las cuentas de Gmail y AOL de los usuarios infectados.

El malware, denominado SHARPEXT por los investigadores de la empresa de seguridad Volexity, utiliza medios inteligentes para instalar una extensión de navegador para los navegadores Chrome y Edge, informó Volexity en una publicación de blog. Los servicios de correo electrónico no pueden detectar la extensión, y dado que el navegador ya se ha autenticado utilizando las protecciones de autenticación multifactor existentes, esta medida de seguridad cada vez más popular no juega ningún papel en la mitigación del compromiso de la cuenta.

El malware ha estado en uso durante «más de un año», según Volexity, y es obra de un grupo de piratas informáticos que rastrea a la empresa como SharpTongue. El grupo está patrocinado por el gobierno de Corea del Norte y se superpone con un grupo que está siendo rastreado por investigadores que no son Kimsuky. SHARPEXT está dirigido a organizaciones en los EE. UU., Europa y Corea del Sur que trabajan en armas nucleares y otros temas que Corea del Norte considera importantes para su seguridad nacional.

El presidente de Volexity, Steven Adair, dijo en un correo electrónico que la extensión «se instala a través de spear phishing e ingeniería social, donde se engaña a la víctima para que abra un documento malicioso. Engaña a la víctima para que instale una extensión de navegador para instalar, en lugar de ser un exploit posterior. mecanismo para la persistencia y el robo de datos». En su versión actual, el malware solo funciona en Windows, pero Adair dijo que no hay razón por la que no pueda funcionar también en navegadores que ejecutan macOS o Linux se puede expandir.

La publicación del blog agregó: «La propia visibilidad de Volexity muestra que la extensión fue bastante exitosa, ya que los registros obtenidos de Volexity muestran que el atacante pudo robar con éxito miles de correos electrónicos de múltiples víctimas al implementar el malware».

Instalar una extensión de navegador durante una operación de phishing sin que el usuario final se dé cuenta no es fácil. Los desarrolladores de SHARPEXT claramente han prestado atención a investigaciones como las publicadas aquí, aquí y aquí que muestran cómo un mecanismo de seguridad en el motor del navegador Chromium evita que el malware realice cambios en la configuración confidencial del usuario. Cada vez que se realiza un cambio legítimo, el navegador realiza un hash criptográfico de un fragmento de código. Al inicio, el navegador verifica los valores hash y, si alguno de ellos no coincide, el navegador solicita restaurar la configuración anterior.

restore settings chrome

Para que los atacantes eludan esta protección, primero deben extraer lo siguiente de la computadora que están comprometiendo:

  • Una copia del archivo resources.pak del navegador (que contiene la semilla HMAC utilizada por Chrome)
  • El valor de S-ID del usuario
  • Los archivos originales de Preferencias y Preferencias seguras del sistema del usuario

Después de modificar los archivos de configuración, SHARPEXT carga automáticamente la extensión y ejecuta un script de PowerShell que habilita DevTools, una configuración que permite que el navegador ejecute código y configuraciones personalizados.

«El script se ejecuta en un bucle infinito, buscando procesos asociados con los navegadores de destino», explicó Volexity. «Cuando encuentra que se están ejecutando navegadores específicos, el script verifica el título de la pestaña en busca de una palabra clave específica (por ejemplo, ‘05101190’ o ‘Tab+’ según la versión de SHARPEXT). El atacante inserta la palabra clave específica en la extensión del título cuando cambia una pestaña activa o cuando se carga una página».

keystrokes

volexidad

La publicación continuó:

Las pulsaciones de teclas enviadas equivalen a Control+Shift+J, el acceso directo para habilitar el panel DevTools. Finalmente, el script de PowerShell oculta la ventana DevTools recién abierta usando la API ShowWindow() y el SW_HIDE Bandera. Al final de este proceso, DevTools está habilitado en la pestaña activa, pero la ventana está oculta.

Además, este script se usa para ocultar todas las ventanas que podrían advertir a la víctima. Por ejemplo, Microsoft Edge muestra periódicamente un mensaje de advertencia al usuario (Figura 5) cuando las extensiones se ejecutan en modo desarrollador. El script comprueba constantemente si aparece esta ventana y también la oculta. ShowWindow() y el SW_HIDE Bandera.

edge warning

volexidad

Una vez instalada, la extensión puede realizar las siguientes solicitudes:

Datos POST de HTTP descripción
modo=lista Enumere los correos electrónicos recopilados previamente de la víctima para asegurarse de que no se carguen duplicados. Esta lista se actualiza continuamente cuando SHARPEXT se está ejecutando.
modo=dominio Enumere los dominios de correo electrónico con los que la víctima se ha comunicado previamente. Esta lista se actualiza continuamente cuando SHARPEXT se está ejecutando.
modo = negro Recopile una lista negra de remitentes de correo electrónico que deben ignorarse al recopilar correos electrónicos de la víctima.
modo=nuevoD&d=[data] Agregue un dominio a la lista de todos los dominios vistos por la víctima.
modo=adjuntar&nombre=[data] &idx=[data] &cuerpo=[data] Cargue un nuevo archivo adjunto al servidor remoto.
modo = nuevo y medio =[data] &cuerpo=[data] Cargue datos de Gmail en el servidor remoto.
modo=lista de atletismo Anotado por el atacante; recibir una lista de archivos adjuntos para ser exfiltrados.
modo=nuevo_aol&mid=[data] &cuerpo=[data] Cargue datos de AOL en el servidor remoto.

Con SHARPEXT, los piratas informáticos pueden crear listas de direcciones de correo electrónico para ignorar y rastrear correos electrónicos o archivos adjuntos que ya han sido robados.

Volexity creó el siguiente resumen de la orquestación de los diversos componentes SHARPEXT analizados:

SHARPEXT Process Flow

volexidad

La publicación del blog contiene imágenes, nombres de archivos y otros indicadores que las personas capacitadas pueden usar para determinar si han sido atacadas o infectadas por este malware. La compañía advirtió que la amenaza que representa ha crecido con el tiempo y es poco probable que desaparezca pronto.

«Cuando Volexity encontró SHARPEXT por primera vez, parecía ser una herramienta en desarrollo temprano que contenía numerosos errores, una indicación de que la herramienta era inmadura», dijo la compañía. «Las últimas actualizaciones y el mantenimiento continuo muestran que el atacante está logrando sus objetivos y ve valor en perfeccionarlo aún más».

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí