Un nouveau malware peut accéder à votre boîte de réception Gmail sans votre mot de passe ni votre 2FA

Les chercheurs de la société de cybersécurité Volexity ont découvert une nouvelle extension de navigateur malveillante capable de voler des e-mails de vos boîtes de réception Gmail et AOL sans avoir besoin de vos mots de passe ou de votre clé d’authentification à deux facteurs (2FA).

L’extension, surnommée « SHARPEXT » par les chercheurs de Volexity, a été liée au groupe de menaces soutenu par la Corée du Nord, ‘SharpTongue’, qui est également connu sous le nom de ‘Kimsuky’.

SharpTongue a un historique de ciblage et de victimisation d’individus employés par des organisations aux États-Unis, en Europe et en Corée du Sud travaillant sur des sujets impliquant la Corée du Nord, les questions nucléaires, les systèmes d’armement et d’autres questions d’intérêt stratégique pour la Corée du Nord.

Selon les chercheurs, en septembre 2021, Volexity a commencé à observer une famille de malware intéressante et non documentée utilisée par SharpTongue. Depuis sa découverte, l’extension a évolué et est actuellement à la version 3.0, basée sur le système de version interne.

« SHARPEXT diffère des extensions précédemment documentées utilisées par l’acteur ‘Kimsuky’, en ce sens qu’elle n’essaie pas de voler des noms d’utilisateur et des mots de passe. Au contraire, le malware inspecte directement et exfiltre des données du compte de messagerie web d’une victime pendant qu’elle le parcourt », a écrit Volexity dans un article de blog.

Dans les premières versions de SHARPEXT examinées par Volexity, le malware ne supportait que Google Chrome. Cependant, la dernière version 3.0 prend en charge Google Chrome, Microsoft Edge et les navigateurs Whale de Naver et peut voler des e-mails à la fois de Gmail et d’AOL.

Les attaquants installent l’extension malveillante sur l’appareil de la victime en remplaçant les fichiers Préférences et Préférences sécurisées du navigateur téléchargés depuis le serveur de commande et de contrôle (C2) du malware par ceux reçus d’un serveur distant à l’aide d’un script VBS personnalisé.

Une fois les nouveaux fichiers de préférences téléchargés sur l’appareil compromis, le navigateur web charge discrètement l’extension SHARPEXT en prenant soin de cacher tout message d’avertissement concernant l’exécution d’extensions en mode développeur. Cela rend la détection très difficile pour le fournisseur de messagerie de la victime, voire impossible.

« C’est la première fois que Volexity observe des extensions de navigateur malveillantes utilisées dans le cadre de la phase de post-exploitation d’une compromission. En volant des données d’e-mail dans le contexte d’une session déjà connectée de l’utilisateur, l’attaque est cachée du fournisseur de messagerie, rendant la détection très difficile », ont déclaré les chercheurs.

« De même, la façon dont l’extension fonctionne signifie que l’activité suspecte ne serait pas enregistrée dans la page d’état