¿Cómo los hackers son capaces de acceder a tu Gmail?

Rubén Castro, 5 agosto 2022

Ya está aquí la Vuelta al Cole de GeekBuying con descuentos de hasta el 50%!!!

Ver las mejores ofertas

Los hackers que trabajan para el gobierno de Corea del Norte han estado utilizando formas de malware no descubiertas anteriormente para capturar correos electrónicos y archivos de cuentas de AOL y Gmail.

El malware, que los investigadores de Volexity han bautizado como SHARPEXT, es capaz de instalar una extensión del navegador tanto en Chrome como en Edge. Los proveedores de correo electrónico son incapaces de identificar la extensión, y la autenticación multifactor es ineficaz para evitar la penetración en la cuenta porque el propio navegador ya ha sido verificado como legítimo.


Según los hallazgos de Volexity, SharpTongue ha estado haciendo uso del malware durante “mucho más de un año”. El gobierno de Corea del Norte apoya financieramente a la organización, que comparte miembros con Kimsuky. SHARPEXT persigue a organizaciones de Estados Unidos, Europa y Corea del Sur que trabajan con armas nucleares y otros aspectos de la seguridad nacional norcoreana.

El presidente de Volexity afirmó que el plugin ha sido creado: “Los ataques de phishing con un objetivo específico y la ingeniería social se utilizan para engañar a las víctimas para que abran los documentos que están infectados. Como método de persistencia posterior a la explotación y el robo de datos, los actores de la amenaza con origen en la RPDC han utilizado en el pasado el phishing selectivo para conseguir que las víctimas instalen una extensión del navegador”.

Por el momento, el malware sólo puede infectar navegadores que funcionen en Windows; sin embargo, Adair afirmó que es posible que se añada soporte para macOS y Linux en el futuro.

Según la entrada del blog, los registros de Volexity indican que el atacante puede haber robado cientos de correos electrónicos de múltiples víctimas mediante el despliegue del virus.

Durante un ataque de phishing, puede ser difícil instalar una extensión del navegador. Es obvio que los desarrolladores detrás de SHARPEXT han leído la investigación que demuestra cómo una medida de seguridad integrada en el motor del navegador Chromium impide que el malware altere la configuración del usuario. El navegador crea un hash criptográfico cada vez que se realiza un cambio en el documento. Cuando el navegador se inicia, realiza una comprobación de los hash y, si alguno no coincide, devuelve la configuración a su estado inicial.

Para burlar esta seguridad, los atacantes deben extraer primero la siguiente información:

  • El archivo resources.pak utilizado por el navegador (que contiene la semilla HMAC utilizada por Chrome)
  • El identificador de S-ID
  • Las preferencias originales del usuario, así como las preferencias protegidas

SHARPEXT cargará automáticamente la extensión y ejecutará un script PowerShell para habilitar DevTools. Esto hará posible que el navegador ejecute código y configuraciones individualizadas.

Según Volexity, el script crea un bucle infinito de comprobaciones para buscar los procesos del navegador. “Si alguno de los navegadores objetivo está actualmente activo, el script busca en el título de cada pestaña un determinado término (ya sea ‘05101190’ o ‘Tab+’, dependiendo de la versión de SHARPEXT). Cuando se cambia una pestaña o página, la extensión maliciosa pondrá el término en el título de la nueva pestaña o página”.

Siguiente:

Se puede acceder al panel de DevTools pulsando Control+Mayúsculas+J. La ventana de DevTools recién abierta es ocultada por el script de PowerShell mediante la interfaz de programación de aplicaciones (API) ShowWindow() y la bandera SW HIDE. El uso de este método hará que los DevTools estén disponibles en la pestaña activa mientras se oculta la ventana.

Este script también hace que se oculten las ventanas de alerta. Los usuarios de Microsoft Edge verán una advertencia si las extensiones se están ejecutando mientras el navegador está en modo de desarrollo (Figura 5). Cuando esta ventana aparece, el script la oculta inmediatamente usando ShowWindow() con la opción SW HIDE pasada.

Una vez instalada, la extensión es capaz de:

Los hackers tienen la capacidad de ignorar las direcciones de correo electrónico y rastrear los mensajes o archivos adjuntos robados mediante el uso de SHARPEXT.

Una visión general de la orquestación de SHARPEXT fue realizada por Volexity, que es la siguiente:

Esta publicación del blog incluye fotos, nombres de archivos y otras pistas que pueden ayudar a las personas que han recibido formación a determinar si han sido o no objeto de malware. La compañía emitió una advertencia, afirmando que el peligro ha aumentado y no desaparecerá pronto.

Según Volexity, “SHARPEXT parece ser una herramienta que todavía está en fase de desarrollo y tiene varios fallos”. Las recientes actualizaciones y el mantenimiento continuo son una prueba de que el atacante está avanzando hacia sus objetivos.