Los hackers norcoreanos tienen una forma inteligente de leer tu Gmail
Investigadores de seguridad han descubierto un malware nunca antes visto que los hackers de Corea del Norte han estado utilizando. Específicamente, el malware permite leer y descargar subrepticiamente correos electrónicos y archivos adjuntos de las cuentas de Gmail y AOL de los usuarios infectados.
El malware, denominado SHARPEXT por investigadores de la firma de seguridad Volexity, utiliza medios inteligentes para instalar una extensión de navegador para los navegadores Chrome y Edge. Los servicios de correo electrónico no pueden detectar la extensión, y dado que el navegador ya se ha autenticado utilizando las protecciones de autenticación multifactor existentes, esta medida de seguridad cada vez más popular no juega ningún papel para frenar el compromiso de la cuenta.
La extensión no está disponible en Chrome Web Store de Google, la página de complementos de Microsoft o cualquier otra fuente de terceros conocida. Además, no depende de vulnerabilidades en Gmail o AOL Mail para instalarse.
El malware ha estado en uso durante “más de un año”, según Volexity, y es obra de un grupo de hackers que la compañía identificó como SharpTongue. El grupo está patrocinado por el gobierno de Corea del Norte y se superpone con un grupo identificado como Kimsuky por otros investigadores.
SHARPEXT está apuntando a organizaciones en los Estados Unidos, Europa y Corea del Sur. Estas organizaciones trabajan en armas nucleares y otros temas que Corea del Norte considera importantes para su seguridad nacional.
SHARPEXT se diferencia de las extensiones previamente documentadas utilizadas por el actor de “Kimsuky”, en que no intenta robar nombres de usuario y contraseñas. Más bien, el malware inspecciona y extrae datos directamente de la cuenta de correo de la víctima mientras navega.
Método de instalación
El presidente de Volexity, Steven Adair, dijo que la extensión se instala “a través de spear phishing e ingeniería social donde se engaña a la víctima para que abra un documento malicioso.”
Anteriormente, hemos visto a los hackers de Corea del norte lanzar ataques de phishing selectivo en los que el objetivo principal era lograr que la víctima instalara una extensión del navegador en lugar de ser un mecanismo posterior a la explotación para la persistencia y el robo de datos. En su encarnación actual, el malware solo funciona en Windows. No obstante, Adair dijo que no hay razón para que no se pueda ampliar para infectar también los navegadores que se ejecutan en macOS o Linux.
En la publicación, Volexity asegura que:
“Los análisis revelaron que la extensión ha tenido bastante éxito. Esto porque los registros obtenidos por Volexity muestran que el atacante pudo robar con éxito miles de correos electrónicos de múltiples víctimas a través de la implementación del malware”.
Instalar una extensión de navegador durante una operación de phishing sin que el usuario final se dé cuenta no es fácil.
Los desarrolladores de SHARPEXT claramente han prestado atención a investigaciones publicadas anteriormente, que muestran cómo un mecanismo de seguridad en el motor del navegador Chromium evita que el malware realice cambios en la configuración confidencial del usuario.
Cada vez que se realiza un cambio legítimo, el navegador realiza un hash criptográfico de parte del código. Al inicio, el navegador verifica los hash y, si alguno de ellos no coincide, el navegador solicita que se restablezca la configuración anterior.
Técnicas sofisticadas
Para que los atacantes eviten esta protección, primero deben extraer lo siguiente de la computadora que están comprometiendo:
- Una copia del archivo
resources.pakdel navegador (que contiene la clave HMAC utilizada por Chrome) - El valor de S-ID del usuario
- Los archivos originales de Preferencias y Preferencias seguras del sistema del usuario
Después de modificar los archivos de preferencias, SHARPEXT carga automáticamente la extensión y ejecuta un script de PowerShell que habilita DevTools. DevTools es una configuración que permite que el navegador ejecute códigos y configuraciones personalizados.
“La secuencia de comandos se ejecuta en un bucle infinito para verificar los procesos asociados con los navegadores objetivo. Si se encuentra algún navegador objetivo ejecutándose, el script verifica el título de la pestaña en busca de una palabra clave específica (por ejemplo, ‘05101190’ o ‘Tab+’ dependiendo de la versión de SHARPEXT). La palabra clave específica se inserta en el título por la extensión maliciosa cuando cambia una pestaña activa o cuando se carga una página”.
Volexity.
Las pulsaciones de teclas enviadas son equivalentes a Control+Shift+J, el atajo para habilitar el panel DevTools. Por último, el script de PowerShell oculta la ventana DevTools recién abierta mediante el uso de la API ShowWindow() y el indicador SW_HIDE. Al final de este proceso, DevTools está habilitado en la pestaña activa, pero la ventana está oculta.
Además, este script se usa para ocultar cualquier ventana que pueda alertar a la víctima. Microsoft Edge, por ejemplo, muestra periódicamente un mensaje de advertencia al usuario (Figura de abajo) si las extensiones se ejecutan en modo desarrollador. El script comprueba constantemente si aparece esta ventana y la oculta mediante el uso de ShowWindow()y el indicador SW_HIDE.
Acciones de la extensión
Una vez instalada, la extensión puede realizar las siguientes solicitudes:
| Datos POST de HTTP | Descripción |
| mode=list | Enumera los correos electrónicos recopilados previamente de la víctima para asegurarse de que no se carguen duplicados. Esta lista se actualiza continuamente a medida que se ejecuta SHARPEXT. |
| mode=domain | Enumera los dominios de correo electrónico con los que la víctima se ha comunicado previamente. Esta lista se actualiza continuamente a medida que se ejecuta SHARPEXT. |
| mode=black | Recopila una lista negra de remitentes de correo electrónico que deben ignorarse al recopilar correos electrónicos de la víctima. |
| mode=newD&d=[data] | Agrega un dominio a la lista de todos los dominios vistos por la víctima. |
| mode=attach&name=[data]&idx=[data]&body=[data] | Envía un nuevo archivo adjunto al servidor remoto. |
| mode=new&mid=[data]&mbody=[data] | Envía datos de Gmail en el servidor remoto. |
| mode=attlist | Comentado por el atacante; recibir una lista de archivos adjuntos para ser exfiltrados. |
| mode=new_aol&mid=[data]&mbody=[data] | Subir datos de AOL en el servidor remoto. |
SHARPEXT permite a los hackers crear listas de direcciones de correo electrónico para ignorar y realizar un seguimiento de los correos electrónicos o archivos adjuntos que ya han sido robados.
Volexity creó el siguiente resumen de la orquestación de los diversos componentes de SHARPEXT que analizó:
Después de que se publicó esta investigación, un portavoz de Google envió un correo electrónico para reiterar que la extensión no estaba alojada en los servidores de Google. Además, enfatizó que se instaló como malware posterior a la explotación luego de un ataque exitoso de phishing o ingeniería social.
Los servicios antimalware y el uso de sistemas operativos reforzados con seguridad como ChromeOS son las mejores prácticas para prevenir este y otros tipos de ataques similares.
La publicación de los investigadores proporciona imágenes, nombres de archivos y otros indicadores que las personas capacitadas pueden usar para determinar si han sido atacadas o infectadas por este malware. La compañía advirtió que la amenaza que representa ha crecido con el tiempo y es probable que no desaparezca pronto.
“Cuando Volexity encontró SHARPEXT por primera vez, parecía ser una herramienta en desarrollo temprano que contenía numerosos errores, una indicación de que la herramienta era inmadura. Las últimas actualizaciones y el mantenimiento continuo demuestran que el atacante está logrando sus objetivos y encuentra valor en continuar perfeccionándolo”.
