Nota: O seguinte artigo irá ajudá-lo com: Novo malware pode acessar sua caixa de entrada do Gmail sem sua senha ou 2FA
Pesquisadores da empresa de segurança cibernética Volexity descobriram uma nova extensão de navegador maliciosa que tem a capacidade de roubar e-mails de suas caixas de entrada do Gmail e AOL sem precisar de suas senhas ou sua chave de autenticação de dois fatores (2FA).
A extensão, apelidada de “SHARPEXT” pelos pesquisadores da Volexity, foi ligada ao grupo de ameaças apoiado pela Coreia do Norte, ‘SharpTongue’, que também atende pelo nome de ‘Kimsuky’.
A SharpTongue tem um histórico de visar e vitimizar indivíduos empregados para organizações nos Estados Unidos, Europa e Coreia do Sul que trabalham em tópicos envolvendo a Coreia do Norte, questões nucleares, sistemas de armas e outros assuntos de interesse estratégico para a Coreia do Norte.”
De acordo com os pesquisadores, em setembro de 2021, a Volexity começou a observar uma família de malware interessante e não documentada usada pela SharpTongue. Desde sua descoberta, a extensão vem crescendo e atualmente está na versão 3.0, baseada no sistema de versionamento interno.
“O SHARPEXT difere das extensões documentadas anteriormente usadas pelo ator ‘Kimsuky’, pois não tenta roubar nomes de usuário e senhas. Em vez disso, o malware inspeciona e extrai dados diretamente da conta de webmail da vítima enquanto ela navega”, escreveu Volexity em um post no blog.
Nas primeiras versões do SHARPEXT investigadas pela Volexity, o malware suportava apenas o Google Chrome. No entanto, a versão mais recente 3.0 suporta os navegadores Google Chrome, Microsoft Edge e Naver’s Whale e pode roubar e-mails do Gmail e do webmail da AOL.
Os invasores instalam a extensão maliciosa no dispositivo da vítima substituindo os arquivos de Preferências e Preferências Seguras do navegador baixados do servidor de comando e controle (C2) do malware por aqueles recebidos de um servidor remoto usando um script VBS personalizado.
Depois que os novos arquivos de preferências são baixados no dispositivo comprometido, o navegador da Web carrega silenciosamente a extensão SHARPEXT, tendo o cuidado de ocultar quaisquer mensagens de aviso sobre a execução de extensões do modo de desenvolvedor. Isso torna a detecção muito difícil para o provedor de e-mail da vítima, se não impossível.
“Esta é a primeira vez que a Volexity observa extensões de navegador maliciosas usadas como parte da fase de pós-exploração de um comprometimento. Ao roubar dados de e-mail no contexto de uma sessão já conectada de um usuário, o ataque é ocultado do provedor de e-mail, tornando a detecção muito desafiadora”, disseram os pesquisadores.
“Da mesma forma, a maneira como a extensão funciona significa que atividades suspeitas não seriam registradas na página de status de “atividade da conta” de um usuário, caso ele a revisasse.”
Medidas para se manter protegido online
A Volexity recomenda o seguinte para detectar e investigar amplamente esses ataques:
- Habilite e analise os resultados do log do PowerShell ScriptBlock, pois o PowerShell desempenha um papel fundamental na configuração e instalação do malware. Isso pode ser útil para a identificação e triagem de atividades maliciosas.
- Faça uma revisão periódica das extensões instaladas em máquinas de usuários de alto risco para identificar aquelas não disponíveis na Chrome Web Store ou carregadas de caminhos incomuns.
Para evitar esses ataques específicos, a empresa de segurança sugere o seguinte:
- Use as regras YARA aqui para detectar atividades relacionadas.
- Bloqueie os IOCs listados aqui.