Noticias

Nuevo malware puede acceder a su bandeja de entrada de Gmail sin su contraseña o 2FA

Investigadores de la firma de seguridad cibernética Volexity han descubierto una nueva extensión de navegador malicioso que tiene la capacidad de robar correos electrónicos de sus bandejas de entrada de correo electrónico de Gmail y AOL sin necesidad de sus contraseñas o claves de autenticación de dos factores (2FA).

La extensión, denominada «SHARPEXT» por los investigadores de Volexity, se ha relacionado con el grupo de amenazas respaldado por Corea del Norte «SharpTongue», que también se conoce con el nombre de «Kimsuky».

SharpTongue tiene un historial de atacar y victimizar a personas empleadas por organizaciones en los Estados Unidos, Europa y Corea del Sur que trabajan en asuntos relacionados con Corea del Norte, problemas nucleares, sistemas de armas y otros temas de interés estratégico para Corea del Norte”.

Según los investigadores, en septiembre de 2021, Volexity comenzó a observar una interesante familia de malware no documentada que usaba SharpTongue. Desde su descubrimiento, la extensión ha ido creciendo y actualmente se encuentra en la versión 3.0, basada en el sistema de versiones internas.

“SHARPEXT se diferencia de las extensiones previamente documentadas utilizadas por el actor de ‘Kimsuky’ en que no intenta robar nombres de usuario y contraseñas. Más bien, el malware inspecciona y extrae datos de la cuenta de correo electrónico de la víctima directamente mientras la está navegando”, Volexity escribe en una entrada de blog.

En las primeras versiones de SHARPEXT investigadas por Volexity, el malware solo era compatible con Google Chrome. Sin embargo, la última versión 3.0 es compatible con los navegadores Google Chrome, Microsoft Edge y Naver’s Whale y puede robar correos electrónicos tanto de Gmail como de AOL.

Los atacantes instalaron la extensión maliciosa en el dispositivo de la víctima reemplazando los archivos de Opciones y Opciones de seguridad del navegador descargados del servidor de comando y control (C2) del malware con los obtenidos de un servidor remoto usando un script VBS personalizado.

Una vez que los nuevos archivos de preferencias se han descargado en el dispositivo comprometido, el navegador web carga silenciosamente la extensión SHARPEXT y se encarga de ocultar cualquier mensaje de advertencia sobre la ejecución de extensiones en modo desarrollador. Esto hace que sea muy difícil, si no imposible, que el proveedor de correo electrónico de la víctima lo detecte.

“Esta es la primera vez que Volexity observa extensiones de navegador maliciosas utilizadas como parte de la fase posterior a la explotación de un compromiso. Al robar datos de correo electrónico en el contexto de una sesión de usuario que ya ha iniciado sesión, el ataque se oculta del proveedor de correo electrónico, lo que dificulta la detección”, dijeron los investigadores.

«Del mismo modo, la forma en que funciona la extensión significa que la actividad sospechosa no se registrará en la página de estado de «actividad de la cuenta» del correo electrónico de un usuario, en caso de que la revisen».

Medidas para protegerse en línea

Volexity recomienda lo siguiente para detectar e investigar en general tales ataques:

  • Habilite y analice los resultados de registro de PowerShell ScriptBlock, ya que PowerShell desempeña un papel clave en la configuración e instalación del malware. Esto puede ser útil para identificar y clasificar actividades maliciosas.
  • Revise periódicamente las extensiones instaladas en las máquinas de los usuarios de alto riesgo para identificar aquellas que no están disponibles en Chrome Web Store o que se cargan desde rutas inusuales.

Para prevenir estos ataques específicos, la firma de seguridad recomienda lo siguiente:

  • Usa las reglas YARA aquí para detectar actividad relacionada.
  • Bloquear los IOC enumerados aquí.

HackNarrow

Informático de profesión, me dedico a probar nuevas versiones de hardware y verificar la seguridad e integridad de servidores y firewalls. Escribo un poco sobre novedades en la rama de la seguridad informática en general.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!