Nuovo Malware Può Accedere Alla Tua Posta Gmail Senza La Tua Password O 2FA

I ricercatori della società di cybersecurity Volexity hanno scoperto una nuova estensione del browser malevola che ha la capacità di rubare email dalle tue caselle di posta Gmail e AOL senza bisogno delle tue password o del tuo codice di autenticazione a due fattori (2FA).

L’estensione, soprannominata “SHARPEXT” dai ricercatori di Volexity, è stata collegata al gruppo di minaccia sostenuto dalla Corea del Nord, ‘SharpTongue’, che è anche conosciuto con il nome ‘Kimsuky’.

SharpTongue ha una storia di attacchi e vittimizzazione di individui impiegati da organizzazioni negli Stati Uniti, in Europa e in Corea del Sud che lavorano su argomenti riguardanti la Corea del Nord, questioni nucleari, sistemi d’arma e altre questioni di interesse strategico per la Corea del Nord.

Secondo i ricercatori, nel settembre 2021, Volexity ha iniziato a osservare una famiglia di malware interessante e non documentata utilizzata da SharpTongue. Dalla sua scoperta, l’estensione è cresciuta ed è attualmente alla versione 3.0, basata sul sistema di versioning interno.

“SHARPEXT si differenzia dalle estensioni precedentemente documentate utilizzate dall’attore ‘Kimsuky’, in quanto non cerca di rubare nomi utente e password. Piuttosto, il malware ispeziona ed esfiltra direttamente i dati dall’account webmail di una vittima mentre lo naviga,” ha scritto Volexity in un post sul blog.

Nelle prime versioni di SHARPEXT investigate da Volexity, il malware supportava solo Google Chrome. Tuttavia, l’ultima versione 3.0 supporta Google Chrome, Microsoft Edge e i browser Whale di Naver e può rubare email sia da Gmail che da AOL webmail.

Gli attaccanti installano l’estensione malevola sul dispositivo della vittima sostituendo i file Preferenze e Preferenze Sicure del browser scaricati dal server di comando e controllo (C2) del malware con quelli ricevuti da un server remoto utilizzando uno script VBS personalizzato.

Una volta che i nuovi file di preferenze sono scaricati sul dispositivo compromesso, il browser web carica silenziosamente l’estensione SHARPEXT facendo attenzione a nascondere eventuali messaggi di avviso riguardanti l’esecuzione di estensioni in modalità sviluppatore. Questo rende la rilevazione molto difficile per il provider di email della vittima, se non impossibile.

“Questa è la prima volta che Volexity osserva estensioni del browser malevole utilizzate come parte della fase di post-sfruttamento di una compromissione. Rubando i dati email nel contesto di una sessione già connessa dell’utente, l’attacco è nascosto dal provider di email, rendendo la rilevazione molto impegnativa,” hanno affermato i ricercatori.

“Analogamente, il modo in cui funziona l’estensione significa che l’attività sospetta non verrebbe registrata nella pagina di stato ‘attività dell’account’ di un utente, se dovessero rivederla.”

Misure Per Proteggerti Online **

Volexity raccomanda quanto segue per rilevare e indagare ampiamente tali attacchi:

• Abilita e analizza i risultati della registrazione del PowerShell ScriptBlock, poiché PowerShell gioca un ruolo chiave nella configurazione e installazione del malware. Questo potrebbe essere utile per l’identificazione e la triage dell’attività malevola.

• Effettua una revisione periodica delle estensioni installate sui computer degli utenti ad alto rischio per identificare quelle non disponibili nel Chrome Web Store o caricate da percorsi insoliti.

Per prevenire questi attacchi specifici, la società di sicurezza suggerisce quanto segue:

• Usa le regole YARA qui per rilevare attività correlate.

• Blocca gli IOC elencati qui.