Hackers norte-coreanos usando extensões do Chrome para roubar e-mails do Gmail
23 de Março de 2023

Um aviso conjunto de segurança cibernética do Escritório Federal para a Proteção da Constituição da Alemanha (BfV) e do Serviço Nacional de Inteligência da República da Coreia (NIS) alerta sobre o uso de extensões do Chrome pelo Kimsuky para roubar e-mails do Gmail de alvos.

O Kimsuky (também conhecido como Thallium, Velvet Chollima) é um grupo de ameaças norte-coreano que usa spear phishing para conduzir ciberespionagem contra diplomatas, jornalistas, agências governamentais, professores universitários e políticos.

Inicialmente focado em alvos na Coreia do Sul, os atores de ameaças expandiram as operações ao longo do tempo para mirar em entidades nos EUA e Europa.

O aviso conjunto de segurança foi divulgado para alertar sobre dois métodos de ataque usados pelo grupo de hackers - uma extensão maliciosa do Chrome e aplicativos Android.

Embora a campanha atual tenha como alvo pessoas na Coreia do Sul, as técnicas usadas pelo Kimsuky podem ser aplicadas globalmente, tornando a conscientização essencial.

O ataque começa com um e-mail de spear-phishing instigando a vítima a instalar uma extensão maliciosa do Chrome, que também será instalada em navegadores baseados em Chromium, como o Microsoft Edge ou o Brave.

A extensão é chamada de 'AF' e só pode ser vista na lista de extensões se o usuário inserir "(chrome|edge|brave)://extensions" na barra de endereço do navegador.

Uma vez que a vítima visita o Gmail através do navegador infectado, a extensão é ativada automaticamente para interceptar e roubar o conteúdo do e-mail da vítima.

A extensão abusa da API Devtools (API de ferramentas de desenvolvedor) no navegador para enviar os dados roubados para o servidor de retransmissão do atacante, roubando furtivamente seus e-mails sem quebrar ou contornar as proteções de segurança da conta.

Esta não é a primeira vez que o Kimsuky usou extensões maliciosas do Chrome para roubar e-mails de sistemas violados.

Em julho de 2022, a Volexity relatou sobre uma campanha semelhante usando uma extensão chamada "SHARPEXT".

Em dezembro de 2018, a Netscout relatou que o Kimsuky estava seguindo a mesma tática contra alvos acadêmicos.

Desta vez, os hashes dos arquivos maliciosos usados pelo Kimsuky em seus últimos ataques são:
O malware Android usado pelo Kimsuky é chamado "FastViewer", "Fastfire" ou "Fastspy DEX", e é conhecido desde outubro de 2022, quando foi visto se passando por um plug-in de segurança ou visualizador de documentos.

No entanto, a empresa de segurança cibernética coreana AhnLab relatou que os atores de ameaças atualizaram o FastViewer em dezembro de 2022, continuando a usar o malware após seus hashes terem sido relatados publicamente.

O ataque se desenrola com o Kimsuky fazendo login na conta do Google da vítima, que eles roubaram anteriormente por e-mails de phishing ou outros meios.

Em seguida, os hackers abusam da função de sincronização da web para o telefone do Google Play, que permite aos usuários instalar aplicativos em seus dispositivos vinculados a partir de seus computadores (site da Play Store) para instalar o malware.

O aplicativo malicioso que os atacantes solicitam ao Google Play para instalar no dispositivo da vítima é enviado ao console do desenvolvedor do Google Play apenas para "testes internos", e o dispositivo da vítima é supostamente adicionado como um alvo de teste.

Essa técnica não funcionaria para infecções em grande escala, mas é excepcional e bastante furtiva quando se trata de operações de direcionamento estreito, como as executadas pelo Kimsuky.

O malware Android é uma ferramenta RAT (trojan de acesso remoto) permitindo que os hackers criem, excluam ou roubem arquivos, obtenham listas de contatos, efetuem chamadas, monitorem ou enviem SMS, ativem a câmera, façam keylogging e visualizem a área de trabalho.

À medida que o Kimsuky continua a evoluir suas táticas e desenvolver métodos mais sofisticados para comprometer contas do Gmail, indivíduos e organizações devem permanecer vigilantes e implementar medidas de segurança robustas.

Isso inclui manter o software atualizado, ter cuidado com e-mails ou links inesperados e monitorar regularmente as contas em busca de atividades suspeitas.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...