Nuevo malware puede acceder a tu bandeja de entrada de Gmail sin tu contraseña o 2FA

Los investigadores de la firma de ciberseguridad Volexity han descubierto una nueva extensión maliciosa para navegadores que tiene la capacidad de robar correos electrónicos de tus bandejas de entrada de Gmail y AOL sin necesidad de tus contraseñas o tu clave de autenticación de dos factores (2FA).

La extensión, apodada “SHARPEXT” por los investigadores de Volexity, ha sido vinculada al grupo de amenazas respaldado por Corea del Norte, ‘SharpTongue’, que también se conoce como ‘Kimsuky’.

SharpTongue tiene un historial de atacar y victimizar a individuos empleados por organizaciones en Estados Unidos, Europa y Corea del Sur que trabajan en temas relacionados con Corea del Norte, cuestiones nucleares, sistemas de armas y otros asuntos de interés estratégico para Corea del Norte.

Según los investigadores, en septiembre de 2021, Volexity comenzó a observar una interesante familia de malware no documentada utilizada por SharpTongue. Desde su descubrimiento, la extensión ha ido creciendo y actualmente se encuentra en la versión 3.0, basada en el sistema de versionado interno.

“SHARPEXT difiere de las extensiones documentadas anteriormente utilizadas por el actor ‘Kimsuky’, en que no intenta robar nombres de usuario y contraseñas. Más bien, el malware inspecciona y exfiltra directamente datos de la cuenta de correo web de la víctima mientras la navega”, escribió Volexity en una publicación de blog.

En las primeras versiones de SHARPEXT investigadas por Volexity, el malware solo era compatible con Google Chrome. Sin embargo, la última versión 3.0 es compatible con Google Chrome, Microsoft Edge y los navegadores Whale de Naver y puede robar correos electrónicos tanto de Gmail como de AOL.

Los atacantes instalan la extensión maliciosa en el dispositivo de la víctima reemplazando los archivos de Preferencias y Preferencias Seguras del navegador descargados desde el servidor de comando y control (C2) del malware con aquellos recibidos de un servidor remoto utilizando un script VBS personalizado.

Una vez que los nuevos archivos de preferencias son descargados en el dispositivo comprometido, el navegador web carga silenciosamente la extensión SHARPEXT, cuidando de ocultar cualquier mensaje de advertencia sobre la ejecución de extensiones en modo desarrollador. Esto hace que la detección sea muy difícil para el proveedor de correo electrónico de la víctima, si no imposible.

“Esta es la primera vez que Volexity ha observado extensiones de navegador maliciosas utilizadas como parte de la fase de post-explotación de un compromiso. Al robar datos de correo electrónico en el contexto de una sesión ya iniciada del usuario, el ataque se oculta del proveedor de correo electrónico, lo que hace que la detección sea muy desafiante”, dijeron los investigadores.

“De manera similar, la forma en que funciona la extensión significa que la actividad sospechosa no se registraría en la página de estado de ‘actividad de cuenta’ del correo electrónico de un usuario, si decidieran revisarla.”

Medidas para mantenerte protegido en línea **

Volexity recomienda lo siguiente para detectar e investigar ampliamente tales ataques:

• Habilitar y analizar los resultados del registro de PowerShell ScriptBlock, ya que PowerShell juega un papel clave en la configuración e instalación del malware. Esto podría ser útil para la identificación y el triaje de actividad maliciosa.

• Realizar una revisión periódica de las extensiones instaladas en las máquinas de usuarios de alto riesgo para identificar aquellas que no están disponibles en la Chrome Web Store o que se cargan desde rutas inusuales.

Para prevenir estos ataques específicos, la firma de seguridad sugiere lo siguiente:

• Utilizar las reglas YARA aquí para detectar actividad relacionada.

• Bloquear los IOCs listados aquí.