Se dice que un actor de amenazas que se cree que está asociado con Corea del Norte está implementando una extensión de navegador maliciosa para espiar a los usuarios de Gmail y AOL.
Se dice que un actor de amenazas que se cree que está asociado con Corea del Norte está implementando una extensión de navegador maliciosa denominada ‘SHARPEXT‘ para espiar a los usuarios de Gmail y AOL. Corea del Norte a menudo ha estado bajo el escáner de las empresas de seguridad cibernética y las agencias gubernamentales occidentales por ayudar e instigar a los actores de amenazas que apuntan específicamente a los intereses estadounidenses y occidentales. El gobierno de EE. UU. incluso tiene un nombre para la actividad cibernética maliciosa del régimen de Corea del Norte, llamándolo ‘Cobra oculta’. Según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), Corea del Norte emplea actividades cibernéticas maliciosas para recopilar inteligencia, realizar ataques y generar ingresos.
El cibercrimen ha ido en aumento en los últimos años, alcanzando su punto máximo durante la pandemia. Varios tipos diferentes de delitos cibernéticos han visto un aumento durante este tiempo, incluidos el phishing, el ransomware, el spyware y las estafas criptográficas. Otro método popular implica el uso de software falso, incluidas aplicaciones antivirus falsas, para entregar cargas útiles maliciosas. Si bien la mayoría de los ataques provienen de ciberdelincuentes organizados, las amenazas cibernéticas patrocinadas por los estados de Corea del Norte, China y Rusia también están aumentando rápidamente. Según un informe del FBI, el año pasado fue excepcionalmente malo para las víctimas de delitos cibernéticos, ya que, según los informes, las personas perdieron casi $ 7 mil millones debido a ataques y estafas en línea.
Los investigadores de la firma de ciberseguridad Volexity han detallado una nueva actividad de un actor de amenazas llamado SharpTongue (también conocido como Kimsuky). Según ellos, el grupo de ciberdelincuencia está utilizando medios ingeniosos para instalar una extensión de navegador maliciosa en navegadores basados en Chromium como Google Chrome y Microsoft Edge. La extensión no puede ser detectada por Gmail o correo de AOL, ni puede ser frustrada por protocolos de seguridad establecidos como la autenticación de dos factores. Según los investigadores, las instancias iniciales del malware SHARPEXT se detectaron en septiembre de 2021. Sin embargo, a diferencia de otro malware implementado por SharpTougue, la nueva extensión no intenta robar nombres de usuario y contraseñas. En cambio, “inspecciona y filtra directamente los datos de la cuenta de correo web de una víctima mientras la navega”.
El malware actualmente solo afecta a los usuarios de Windows
En un correo electrónico a Ars Technicael presidente de Volexity, Steven Adair, dijo que la extensión se instala a través de “spear phishing e ingeniería social donde se engaña a la víctima para que abra un documento malicioso”. El malware actualmente solo funciona en Windows, pero Adair cree que con algunos cambios, también se puede hacer que funcione en otras plataformas como macOS y Linux, lo que significa que la amenaza podría incluso extenderse a los usuarios de Chrome en Mac o Linux.
Armado con el nuevo malware, se dice que SharpToungue apunta a individuos y organizaciones en los EE. UU., Europa y Corea del Sur. Se dice que la mayoría de las víctimas son entidades que trabajan en cuestiones geopolíticas estratégicas que involucran a Corea del Norte, incluido el armamento nuclear y los sistemas de armas. Según Volexity, SHARPEXT se ha vuelto mucho más maduro durante el último año y es probable que la amenaza que plantea solo aumente con el tiempo.
Fuente: Volexidad, Ars Technica