Um aviso conjunto de segurança cibernética do Escritório Federal para a Proteção da Constituição da Alemanha (BfV) e do Serviço Nacional de Inteligência da República da Coreia (NIS) alerta sobre o uso de extensões do Chrome pelo Kimsuky para roubar e-mails do Gmail de alvos.
O Kimsuky (também conhecido como Thallium, Velvet Chollima) é um grupo de ameaças norte-coreano que usa spear phishing para conduzir ciberespionagem contra diplomatas, jornalistas, agências governamentais, professores universitários e políticos.
Inicialmente focado em alvos na Coreia do Sul, os atores de ameaças expandiram as operações ao longo do tempo para mirar em entidades nos EUA e Europa.
O aviso conjunto de segurança foi divulgado para alertar sobre dois métodos de ataque usados pelo grupo de hackers - uma extensão maliciosa do Chrome e aplicativos Android.
Embora a campanha atual tenha como alvo pessoas na Coreia do Sul, as técnicas usadas pelo Kimsuky podem ser aplicadas globalmente, tornando a conscientização essencial.
O ataque começa com um e-mail de spear-phishing instigando a vítima a instalar uma extensão maliciosa do Chrome, que também será instalada em navegadores baseados em Chromium, como o Microsoft Edge ou o Brave.
A extensão é chamada de 'AF' e só pode ser vista na lista de extensões se o usuário inserir "(chrome|edge|brave)://extensions" na barra de endereço do navegador.
Uma vez que a vítima visita o Gmail através do navegador infectado, a extensão é ativada automaticamente para interceptar e roubar o conteúdo do e-mail da vítima.
A extensão abusa da API Devtools (API de ferramentas de desenvolvedor) no navegador para enviar os dados roubados para o servidor de retransmissão do atacante, roubando furtivamente seus e-mails sem quebrar ou contornar as proteções de segurança da conta.
Esta não é a primeira vez que o Kimsuky usou extensões maliciosas do Chrome para roubar e-mails de sistemas violados.
Em julho de 2022, a Volexity relatou sobre uma campanha semelhante usando uma extensão chamada "SHARPEXT".
Em dezembro de 2018, a Netscout relatou que o Kimsuky estava seguindo a mesma tática contra alvos acadêmicos.
Desta vez, os hashes dos arquivos maliciosos usados pelo Kimsuky em seus últimos ataques são:
O malware Android usado pelo Kimsuky é chamado "FastViewer", "Fastfire" ou "Fastspy DEX", e é conhecido desde outubro de 2022, quando foi visto se passando por um plug-in de segurança ou visualizador de documentos.
No entanto, a empresa de segurança cibernética coreana AhnLab relatou que os atores de ameaças atualizaram o FastViewer em dezembro de 2022, continuando a usar o malware após seus hashes terem sido relatados publicamente.
O ataque se desenrola com o Kimsuky fazendo login na conta do Google da vítima, que eles roubaram anteriormente por e-mails de phishing ou outros meios.
Em seguida, os hackers abusam da função de sincronização da web para o telefone do Google Play, que permite aos usuários instalar aplicativos em seus dispositivos vinculados a partir de seus computadores (site da Play Store) para instalar o malware.
O aplicativo malicioso que os atacantes solicitam ao Google Play para instalar no dispositivo da vítima é enviado ao console do desenvolvedor do Google Play apenas para "testes internos", e o dispositivo da vítima é supostamente adicionado como um alvo de teste.
Essa técnica não funcionaria para infecções em grande escala, mas é excepcional e bastante furtiva quando se trata de operações de direcionamento estreito, como as executadas pelo Kimsuky.
O malware Android é uma ferramenta RAT (trojan de acesso remoto) permitindo que os hackers criem, excluam ou roubem arquivos, obtenham listas de contatos, efetuem chamadas, monitorem ou enviem SMS, ativem a câmera, façam keylogging e visualizem a área de trabalho.
À medida que o Kimsuky continua a evoluir suas táticas e desenvolver métodos mais sofisticados para comprometer contas do Gmail, indivíduos e organizações devem permanecer vigilantes e implementar medidas de segurança robustas.
Isso inclui manter o software atualizado, ter cuidado com e-mails ou links inesperados e monitorar regularmente as contas em busca de atividades suspeitas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...