Les pirates soutenus par la Corée du Nord ont un moyen intelligent de lire votre Gmail

Getty Images

Des chercheurs ont découvert des logiciels malveillants inédits utilisés par des pirates nord-coréens pour lire et télécharger subrepticement des e-mails et des pièces jointes à partir des comptes Gmail et AOL des utilisateurs infectés.

Volexity rapporte que le malware, surnommé SHARPEX par les chercheurs de la société de sécurité Volexity, utilise des outils intelligents pour installer une extension de navigateur pour les navigateurs Chrome et Edge. article de blog. L’extension n’est pas détectable par les services de messagerie, et cette mesure de sécurité de plus en plus populaire ne joue aucun rôle dans la violation de la sécurité du compte, car l’identité du navigateur a déjà été vérifiée à l’aide d’une protection d’authentification multifacteur.

Volexity a déclaré que le logiciel malveillant était utilisé depuis “plus d’un an” et était l’œuvre d’un groupe de piratage que la société suit sous le nom de SharpTongue. Le groupe est soutenu par le gouvernement nord-coréen et chevauche un groupe. groupe regardé comme Kimsuky par d’autres chercheurs. SHARPEX cible les organisations aux États-Unis, en Europe et en Corée du Sud travaillant sur les armes nucléaires et d’autres questions que la Corée du Nord considère comme importantes pour sa sécurité nationale.

Le président de Volexity, Steven Adair, a déclaré dans un e-mail que l’extension avait été “installée par hameçonnage et ingénierie sociale, où la victime a été amenée à ouvrir un document malveillant”. Demandez à la victime d’installer une extension de navigateur, malgré la persistance et un mécanisme de post-exploitation pour le vol de données. sur macOS ou Linux également. .

Le billet de blog ajoute : « La propre visibilité de Volexity indique que l’extension a été assez réussie, car les journaux obtenus par Volexity montrent que l’attaquant a réussi à voler des milliers d’e-mails à plusieurs victimes grâce à la distribution du malware.

Il n’est pas facile d’installer une extension de navigateur pendant le processus de phishing sans que l’utilisateur final ne s’en aperçoive. Les développeurs de SHARPEX ont clairement prêté attention à des recherches comme celles publiées ici, iciet iciMontre comment un mécanisme de sécurité dans le moteur de navigateur Chromium empêche les logiciels malveillants d’apporter des modifications aux paramètres utilisateur sensibles. Chaque fois qu’une modification légitime est effectuée, le navigateur reçoit un hachage cryptographique d’une partie du code. Initialement, le navigateur valide les hachages, et si l’un d’entre eux ne correspond pas, le navigateur demande que les anciens paramètres soient restaurés.

Pour que les attaquants contournent cette protection, ils doivent d’abord supprimer les éléments suivants de l’ordinateur compromis :

  • Une copie du fichier resource.pak du navigateur (inclut la graine HMAC utilisée par Chrome)
  • l’utilisateur Valeur S-ID
  • Fichiers de préférences d’origine et de préférences sécurisées du système de l’utilisateur

Après avoir modifié les fichiers de préférences, SHARPEXT installe automatiquement l’extension et exécute un script PowerShell qui active DevTools, un paramètre qui permet au navigateur d’exécuter un code et des paramètres personnalisés.

“Le script s’exécute dans une boucle sans fin qui vérifie les processus associés aux navigateurs ciblés”, a déclaré Volexity. “Si un navigateur ciblé fonctionne, le script vérifiera le titre de l’onglet pour un mot-clé spécifique (par exemple, ‘05101190’ ou ‘Tab+’ selon la version de SHARPEXT). Un mot-clé spécifique est ajouté au titre par un logiciel malveillant. lorsque l’onglet change ou qu’une page se charge.”

mobilité

L’article continuait :

Les frappes envoyées sont équivalentes Control+Shift+J, raccourci pour activer le panneau DevTools. Enfin, le script PowerShell masque la fenêtre DevTools nouvellement ouverte en utilisant : API ShowWindow() et SW_HIDE drapeau. À la fin de ce processus, DevTools est activé sur l’onglet actif, mais la fenêtre est masquée.

De plus, ce script est utilisé pour masquer les fenêtres qui peuvent avertir la victime. Par exemple, Microsoft Edge affiche périodiquement un message d’avertissement à l’utilisateur si les extensions s’exécutent en mode développeur (Figure 5). Le script vérifie constamment si cette fenêtre est visible et la masque en utilisant : ShowWindow() et SW_HIDE drapeau.

mobilité

Une fois l’extension installée, elle peut effectuer les requêtes suivantes :

Données HTTP POST Définition
mode=liste Répertoriez les e-mails précédemment collectés auprès de la victime pour vous assurer qu’aucun doublon n’est téléchargé. Cette liste est constamment mise à jour au fur et à mesure de l’exécution de SHARPEX.
mod=domaine Répertoriez les domaines de messagerie que la victime a déjà contactés. Cette liste est constamment mise à jour au fur et à mesure de l’exécution de SHARPEX.
mode=noir Collectez une liste noire des expéditeurs d’e-mails qui doivent être ignorés lors de la collecte des e-mails de la victime.
mod=nouveauD&d=[data] Ajouter un domaine à la liste de tous les domaines consultés par la victime.
mod=ajouter&nom=[data]&idx=[data]&corps=[data] Téléchargez une nouvelle pièce jointe sur le serveur distant.
mod=nouveau&moyen=[data]&mbody=[data] Téléchargez les données Gmail sur un serveur distant.
mod=liste d’attention Le commentaire de l’agresseur ; obtenir une liste des pièces jointes à fuir.
mode=new_aol&mid=[data]&mbody=[data] Téléchargez les données AOL sur le serveur distant.

SHARPEX permet aux pirates de créer des listes d’adresses e-mail pour ignorer et suivre les e-mails ou les pièces jointes qui ont été volés.

Volexity a créé le résumé suivant de l’orchestration des différents composants SHARPEX analysés :

mobilité

Le billet de blog fournit des images, des noms de fichiers et d’autres indicateurs que les personnes instruites peuvent utiliser pour déterminer si elles sont ciblées ou affectées par ce logiciel malveillant. La société a averti que la menace qu’elle représente augmente avec le temps et ne disparaîtra pas de si tôt.

“Lorsque Volexity a rencontré SHARPEXT pour la première fois, cela ressemblait à un outil en début de développement avec beaucoup de bogues, une indication que l’outil était immature”, a déclaré la société. “Les dernières mises à jour et la maintenance continue montrent que l’attaquant a atteint ses objectifs et trouve de l’intérêt à continuer à l’améliorer.”

Leave a Comment