Espiões da Coreia do Norte usam extensão do Chrome para roubar dados de e-mail

Ciberespiões ligados à Coreia do Norte estariam usando uma extensão de navegador disponível para Google Chrome e Microsoft Edge que permite o roubo de e-mails de usuários nesses dois browsers. Apelidada de SHARPEXT, a extensão pode roubar e-mails de clientes com contas do Gmail e America On Line (AOL).

• Hackers da Coreia do Norte estariam usando ransomwares para financiar regime
• Coreia do Norte roubou mais de R$ 1,7 bilhão em ataques cibernéticos, diz ONU

Após instalada, a extensão maliciosa compromete o sistema do alvo com um script VBS personalizado, substituindo os arquivos “Preferências” e “Preferências seguras” por arquivos baixados do servidor de comando e controle do malware. Em seguida, o navegador web carrega automaticamente a extensão SHARPEXT e o malware inspeciona e captura os dados da conta de e-mail da vítima.

"Desde sua descoberta, a extensão evoluiu e está atualmente na versão 3.0, baseada no sistema de versionamento interno”, declarou a consultoria Volexity, responsável por encontrar o malware. De acordo com a empresa, esses ciberespiões, que são chamados de Kimsuky, já realizaram campanhas parecidas, com ataques direcionados a inimigos da Coreia do Norte, como Estados Unidos, União Europeia e Coreia do Sul.

Malware é quase indetectável

Ao aproveitar que o alvo já está logado para roubar seus e-mails, os atacantes ficam indetectáveis pelo provedor de e-mail da vítima, tornando a detecção do problema pelo usuário e pelo provedor quase impossível. O fluxo de trabalho da extensão também não aciona nenhum alerta de atividade suspeita nas contas das vítimas, o que faz com que a atividade maliciosa não seja descoberta verificando a página de status da conta em busca de alertas.

Entre os dados que os ciberespiões norte-coreanos podem coletar estão uma ampla gama de comandos, que podem ordenar que a conta:

• Liste e-mails coletados anteriormente da vítima para garantir que duplicatas não sejam carregadas. Esta lista é continuamente atualizada à medida que o SHARPEXT é executado;
• Liste os domínios de e-mail com os quais a vítima se comunicou anteriormente. Esta lista é continuamente atualizada à medida que o SHARPEXT é executado;
• Colete uma lista negra de remetentes de e-mail que devem ser ignorados ao coletar e-mails da vítima;
• Adicione um domínio à lista de todos os domínios visualizados pela vítima;
• Carregue um novo anexo para o servidor remoto;
• Faça upload dos dados do Gmail para o servidor remoto;
• Comentado pelo atacante; receber uma lista de anexos para serem exfiltrados;
• Carregue dados AOL para o servidor remoto.

Fonte: Bleeping Computer