Gmail | Criminosos da Coreia do Norte podem ler e-mails usando extensão

Uma extensão maliciosa para os navegadores Google Chrome e Microsofty Edge tem como objetivo ler e armazenas informações de mensagens do Gmail. A campanha maliciosa, em ação há mais de um ano, utiliza e-mails e mensagens de phishing para instalar o plug-in em computadores com Windows de empresas ligadas ao governo de três países.

• Países investem mais em espionagem digital e ataques contra inimigos políticos
• Quatro métodos usados por vírus para escapar de softwares de segurança

Na mira do grupo criminoso SharpTongue, que seria financiado pelo governo da Coreia do Norte, estariam empresas do setor nuclear e militar de pelo menos três territórios: Estados Unidos, Coreia do Sul e Europa. A ameaça, batizada de SHARPEXT pelos pesquisadores em segurança da Volexity, é focada em estabelecer permanência, sem ser detectada nem mesmo pelo próprio usuário.

O comprometimento não envolve brechas de segurança e nem mesmo maneiras de quebrar sistemas de autenticação em duas etapas, permitindo o acesso enquanto o usuário também está visualizando os e-mails. Além do Gmail, as caixas de entrada da AOL também são um alvo menor, ainda que a utilização dos serviços do Google pelas corporações governamentais seja o principal ouro buscado por estes criminosos.

Uma vez acessando o e-mail, o SHARPEXT é capaz de criar listas de palavras que podem ser ignoradas, de forma a reduzir o volume de e-mails capturados e focar nas informações que interessam. As mensagens são hospedadas em servidores sob o controle dos criminosos, que mais tarde, filtram os dados e repassam as informações que seriam de interesse ao regime norte-coreano.

O relatório da Volexity aponta que o grupo cibercriminoso foi capaz de interceptar milhares de e-mails de diferentes vítimas ao longo do último ano. Tudo enquanto a extensão permanece oculta, utilizando scripts para manipular arquivos de configuração dos navegadores de forma a escapar de mecanismos de segurança dos próprios softwares, que detectariam alterações como as realizadas pelo SHARPEXT. Eventuais alertas do Windows também são ocultados pela programação, que parece sofisticada.

O vetor de entrada, porém, é o mesmo que vem assustando corporações de todo o mundo. Para obter o comprometimento dos computadores, o SharpTongue utiliza e-mails fraudulentos em nome de parceiros comerciais, executivos reais e outros indivíduos de interesse, com mensagens altamente customizadas e direcionadas, para induzir à abertura de um anexo malicioso que traz o malware.

De acordo com a Volexity, os ataques também marcam uma ligeira mudança para as operações do SharpTongue, que antes, era focado na instalação de droppers que, após serem instalados, traziam soluções maliciosas aos PCs das vítimas. Agora, como forma de evadir da detecção e garantir maior taxa de sucesso, a extensão é instalada diretamente, a partir de servidores de comando e controle, sem que o usuário perceba.

A empresa de segurança aponta uma operação que segue ativa e fazendo novas vítimas, ainda que seu vetor seja conhecido. Isso permite que a recomendação de segurança se mantenha — não abrir arquivos anexos e evitar e-mails de fontes desconhecidas —, ainda que a dica acompanhe um pedido de maior atenção dos colaboradores e administradores devido ao uso de engenharia social para criar mensagens que se passem como verdadeiras.

Outros detalhes técnicos da campanha, como indicadores de comprometimento e endereços a serem bloqueados, também foram publicados pela Volexity. A empresa aponta também que, ainda que os ataques atuais sejam focados no Windows, não existem motivos para pensar que, a qualquer momento, sistemas macOS e Linux também não se tornarão um alvo.

Fonte: Volexity