ūüėé 60% Descuento:  Curso de Hacking Redes Inal√°mbricas >> Ver M√°s

Los hackers norcoreanos tienen una forma inteligente de leer tu Gmail

Investigadores de seguridad han descubierto un malware nunca antes visto que los hackers de Corea del Norte han estado utilizando. Específicamente, el malware permite leer y descargar subrepticiamente correos electrónicos y archivos adjuntos de las cuentas de Gmail y AOL de los usuarios infectados.

El malware, denominado SHARPEXT por investigadores de la firma de seguridad Volexity, utiliza medios inteligentes para instalar una extensi√≥n de navegador para los navegadores Chrome y Edge. Los servicios de correo electr√≥nico no pueden detectar la extensi√≥n, y dado que el navegador ya se ha autenticado utilizando las protecciones de autenticaci√≥n multifactor existentes, esta medida de seguridad cada vez m√°s popular no juega ning√ļn papel para frenar el compromiso de la cuenta. 

La extensión no está disponible en Chrome Web Store de Google, la página de complementos de Microsoft o cualquier otra fuente de terceros conocida. Además, no depende de vulnerabilidades en Gmail o AOL Mail para instalarse.

El malware ha estado en uso durante “m√°s de un a√Īo”, seg√ļn Volexity, y es obra de un grupo de hackers que la compa√Ī√≠a identific√≥ como SharpTongue. El grupo est√° patrocinado por el gobierno de Corea del Norte y se superpone con un grupo identificado como Kimsuky por otros investigadores. 

SHARPEXT est√° apuntando a organizaciones en los Estados Unidos, Europa y Corea del Sur. Estas organizaciones trabajan en armas nucleares y otros temas que Corea del Norte considera importantes para su seguridad nacional.

SHARPEXT se diferencia de las extensiones previamente documentadas utilizadas por el actor de “Kimsuky”, en que no intenta robar nombres de usuario y contrase√Īas. M√°s bien, el malware inspecciona y extrae datos directamente de la cuenta de correo de la v√≠ctima mientras navega

Método de instalación

El presidente de Volexity, Steven Adair, dijo que la extensi√≥n se instala “a trav√©s de spear phishing e ingenier√≠a social donde se enga√Īa a la v√≠ctima para que abra un documento malicioso.‚ÄĚ

Anteriormente, hemos visto a los hackers de Corea del norte lanzar ataques de phishing selectivo en los que el objetivo principal era lograr que la víctima instalara una extensión del navegador en lugar de ser un mecanismo posterior a la explotación para la persistencia y el robo de datos. En su encarnación actual, el malware solo funciona en Windows. No obstante, Adair dijo que no hay razón para que no se pueda ampliar para infectar también los navegadores que se ejecutan en macOS o Linux.

En la publicaci√≥n, Volexity asegura que: 

“Los an√°lisis revelaron que la extensi√≥n ha tenido bastante √©xito. Esto porque los registros obtenidos por Volexity muestran que el atacante pudo robar con √©xito miles de correos electr√≥nicos de m√ļltiples v√≠ctimas a trav√©s de la implementaci√≥n del malware”.

Instalar una extensi√≥n de navegador durante una operaci√≥n de phishing sin que el usuario final se d√© cuenta no es f√°cil. 

Los desarrolladores de SHARPEXT claramente han prestado atenci√≥n a investigaciones publicadas anteriormente, que muestran c√≥mo un mecanismo de seguridad en el motor del navegador Chromium evita que el malware realice cambios en la configuraci√≥n confidencial del usuario. 

Cada vez que se realiza un cambio legítimo, el navegador realiza un hash criptográfico de parte del código. Al inicio, el navegador verifica los hash y, si alguno de ellos no coincide, el navegador solicita que se restablezca la configuración anterior.

Técnicas sofisticadas

Para que los atacantes eviten esta protección, primero deben extraer lo siguiente de la computadora que están comprometiendo:

  • Una copia del archivo resources.pak del navegador (que contiene la clave HMAC utilizada por Chrome)
  • El valor de S-ID del usuario
  • Los archivos originales de Preferencias y Preferencias seguras del sistema del usuario

Después de modificar los archivos de preferencias, SHARPEXT carga automáticamente la extensión y ejecuta un script de PowerShell que habilita DevTools. DevTools es una configuración que permite que el navegador ejecute códigos y configuraciones personalizados.

“La secuencia de comandos se ejecuta en un bucle infinito para verificar los procesos asociados con los navegadores objetivo. Si se encuentra alg√ļn navegador objetivo ejecut√°ndose, el script verifica el t√≠tulo de la pesta√Īa en busca de una palabra clave espec√≠fica (por ejemplo, ‘05101190’ o ‘Tab+’ dependiendo de la versi√≥n de SHARPEXT). La palabra clave espec√≠fica se inserta en el t√≠tulo por la extensi√≥n maliciosa cuando cambia una pesta√Īa activa o cuando se carga una p√°gina”.

Volexity.

Las pulsaciones de teclas enviadas son equivalentes a Control+Shift+J, el atajo para habilitar el panel DevTools. Por √ļltimo, el script de PowerShell oculta la ventana DevTools reci√©n abierta mediante el uso de la API ShowWindow() y el indicador SW_HIDE. Al final de este proceso, DevTools est√° habilitado en la pesta√Īa activa, pero la ventana est√° oculta.

Además, este script se usa para ocultar cualquier ventana que pueda alertar a la víctima. Microsoft Edge, por ejemplo, muestra periódicamente un mensaje de advertencia al usuario (Figura de abajo) si las extensiones se ejecutan en modo desarrollador. El script comprueba constantemente si aparece esta ventana y la oculta mediante el uso de ShowWindow()y el indicador SW_HIDE.

Acciones de la extensión

Una vez instalada, la extensión puede realizar las siguientes solicitudes:

Datos POST de HTTPDescripción
mode=listEnumera los correos electrónicos recopilados previamente de la víctima para asegurarse de que no se carguen duplicados. Esta lista se actualiza continuamente a medida que se ejecuta SHARPEXT.
mode=domainEnumera los dominios de correo electrónico con los que la víctima se ha comunicado previamente. Esta lista se actualiza continuamente a medida que se ejecuta SHARPEXT.
mode=blackRecopila una lista negra de remitentes de correo electrónico que deben ignorarse al recopilar correos electrónicos de la víctima.
mode=newD&d=[data]Agrega un dominio a la lista de todos los dominios vistos por la víctima.
mode=attach&name=[data]&idx=[data]&body=[data]Envía un nuevo archivo adjunto al servidor remoto.
mode=new&mid=[data]&mbody=[data]Envía datos de Gmail en el servidor remoto.
mode=attlistComentado por el atacante; recibir una lista de archivos adjuntos para ser exfiltrados.
mode=new_aol&mid=[data]&mbody=[data]Subir datos de AOL en el servidor remoto.

SHARPEXT permite a los hackers crear listas de direcciones de correo electrónico para ignorar y realizar un seguimiento de los correos electrónicos o archivos adjuntos que ya han sido robados.

Volexity creó el siguiente resumen de la orquestación de los diversos componentes de SHARPEXT que analizó:

Después de que se publicó esta investigación, un portavoz de Google envió un correo electrónico para reiterar que la extensión no estaba alojada en los servidores de Google. Además, enfatizó que se instaló como malware posterior a la explotación luego de un ataque exitoso de phishing o ingeniería social.

Los servicios antimalware y el uso de sistemas operativos reforzados con seguridad como ChromeOS son las mejores pr√°cticas para prevenir este y otros tipos de ataques similares.

La publicaci√≥n de los investigadores proporciona im√°genes, nombres de archivos y otros indicadores que las personas capacitadas pueden usar para determinar si han sido atacadas o infectadas por este malware. La compa√Ī√≠a advirti√≥ que la amenaza que representa ha crecido con el tiempo y es probable que no desaparezca pronto.

“Cuando Volexity encontr√≥ SHARPEXT por primera vez, parec√≠a ser una herramienta en desarrollo temprano que conten√≠a numerosos errores, una indicaci√≥n de que la herramienta era inmadura. Las √ļltimas actualizaciones y el mantenimiento continuo demuestran que el atacante est√° logrando sus objetivos y encuentra valor en continuar perfeccion√°ndolo”.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información