Ciberdelincuentes norcoreanos utilizan una extensión de navegador, para espiar las cuentas de Gmail y AOL

La empresa de ciberseguridad Volexity ha detectado una nueva actividad de un actor de amenaza (AT) supuestamente asociado a Corea del Norte y que despliega extensiones maliciosas en los navegadores web basados en Chromium.

Un aviso reciente de los investigadores de seguridad apodó a este nuevo AT SharpTongue, a pesar de que se le conoce públicamente con el nombre de Kimsuky.

Volexity afirma que ha observado con frecuencia que SharpTongue se dirige a personas que trabajan en organizaciones de Estados Unidos, Europa y Corea del Sur.

En particular, la TA habría victimizado a individuos y empresas que trabajan en temas relacionados con Corea del Norte, cuestiones nucleares, sistemas de armas y otros asuntos de interés estratégico para Corea del Norte.

El nuevo aviso también aclara que, aunque el conjunto de herramientas de SharpTongue está bien documentado en fuentes públicas, en septiembre de 2021, Volexity comenzó a observar una familia de malware no documentada utilizada por SharpTongue apodada «SHARPEXT».

Desde su descubrimiento, Volexity afirma que la extensión ha evolucionado y que actualmente se encuentra en la versión 3.0, basada en el sistema interno de versiones.

De hecho, las primeras versiones de SHARPEXT investigadas por Volexity solo eran compatibles con Google Chrome, mientras que la última versión es compatible con Chrome, Edge y Whale (un navegador basado en Chromium utilizado casi exclusivamente en Corea del Sur).

En cuanto a las tácticas de despliegue, los atacantes primero exfiltran manualmente los archivos necesarios para instalar la extensión desde la estación de trabajo infectada. A continuación, SHARPEXT se instala manualmente mediante un script VBS escrito por el atacante.

Y aunque el uso de extensiones de navegador maliciosas por parte de los actores de la amenaza norcoreana no es nuevo, esta es la primera vez que Volexity observa el uso de extensiones de navegador maliciosas como parte de la fase de post-explotación de un compromiso.

Para detectar e investigar los ataques, Volexity recomendó activar y analizar los resultados del registro de PowerShell ScriptBlock y revisar periódicamente las extensiones instaladas en los equipos de los usuarios de alto riesgo.

Zi zoom

OPINIÓN

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.