Novo Malware Pode Acessar Sua Caixa de Entrada do Gmail Sem Sua Senha Ou 2FA

Pesquisadores da empresa de cibersegurança Volexity descobriram uma nova extensão de navegador maliciosa que tem a capacidade de roubar e-mails de suas caixas de entrada do Gmail e AOL webmail sem precisar de suas senhas ou de sua chave de autenticação de dois fatores (2FA).

A extensão, apelidada de “SHARPEXT” pelos pesquisadores da Volexity, foi vinculada ao grupo de ameaças apoiado pela Coreia do Norte, ‘SharpTongue’, que também é conhecido pelo nome ‘Kimsuky’.

SharpTongue tem um histórico de direcionar e vitimizar indivíduos empregados por organizações nos Estados Unidos, Europa e Coreia do Sul que trabalham em tópicos envolvendo a Coreia do Norte, questões nucleares, sistemas de armas e outros assuntos de interesse estratégico para a Coreia do Norte.

De acordo com os pesquisadores, em setembro de 2021, a Volexity começou a observar uma família de malware interessante e não documentada usada pelo SharpTongue. Desde sua descoberta, a extensão tem crescido e atualmente está na versão 3.0, com base no sistema de versionamento interno.

“SHARPEXT difere das extensões documentadas anteriormente usadas pelo ator ‘Kimsuky’, na medida em que não tenta roubar nomes de usuário e senhas. Em vez disso, o malware inspeciona diretamente e exfiltra dados da conta de webmail da vítima enquanto ela navega”, escreveu a Volexity em um post no blog.

Nas primeiras versões do SHARPEXT investigadas pela Volexity, o malware suportava apenas o Google Chrome. No entanto, a versão mais recente 3.0 suporta Google Chrome, Microsoft Edge e os navegadores Whale da Naver e pode roubar e-mails tanto do Gmail quanto do AOL webmail.

Os atacantes instalem a extensão maliciosa no dispositivo da vítima substituindo os arquivos de Preferências e Preferências Seguras do navegador baixados do servidor de comando e controle (C2) do malware por aqueles recebidos de um servidor remoto usando um script VBS personalizado.

Uma vez que os novos arquivos de preferências são baixados no dispositivo comprometido, o navegador web carrega silenciosamente a extensão SHARPEXT, tomando cuidado para ocultar quaisquer mensagens de aviso sobre a execução de extensões em modo de desenvolvedor. Isso torna a detecção muito difícil para o provedor de e-mail da vítima, se não impossível.

“Esta é a primeira vez que a Volexity observa extensões de navegador maliciosas usadas como parte da fase de pós-exploração de uma violação. Ao roubar dados de e-mail no contexto de uma sessão já logada do usuário, o ataque é ocultado do provedor de e-mail, tornando a detecção muito desafiadora”, disseram os pesquisadores.

“Da mesma forma, a maneira como a extensão funciona significa que atividades suspeitas não seriam registradas na página de status de ‘atividade da conta’ de um usuário, caso eles a revisassem.”

Medidas Para Manter-se Protegido Online **

A Volexity recomenda o seguinte para detectar e investigar amplamente tais ataques:

• Ative e analise os resultados do registro de ScriptBlock do PowerShell, já que o PowerShell desempenha um papel fundamental na configuração e instalação do malware. Isso pode ser útil para a identificação e triagem de atividades maliciosas.

• Faça uma revisão periódica das extensões instaladas em máquinas de usuários de alto risco para identificar aquelas que não estão disponíveis na Chrome Web Store ou carregadas de caminhos incomuns.

Para prevenir esses ataques específicos, a empresa de segurança sugere o seguinte:

• Use as regras YARA aqui para detectar atividades relacionadas.

• Bloqueie os IOCs listados aqui.