NotĂ­cias de dispositivos mĂłveis, gadgets, aplicativos Android

Hackers norte-coreanos atacam usuários do Gmail com extensões maliciosas do Chrome

Num esforço colaborativo, o Gabinete Federal Alemão para a Protecção da Constituição (BfV) e o Serviço Nacional de Inteligência da República da Coreia (NIS) divulgaram um importante comunicado de segurança cibernética.

Esse advertências consultivas contra as ações furtivas de um grupo de hackers conhecido como Kimsuki “Kim Su-ki” (também conhecido como Thallium, Velvet Chollima) que foi encontrado usando extensões maliciosas do Chrome para roubar informações confidenciais das contas do Gmail dos alvos, obtendo acesso não autorizado.

O grupo de ameaças norte-coreano Kimsuky conduz espionagem cibernética contra as seguintes entidades por meio de spear phishing:-

  • Diplomatas
  • Jornalistas
  • AgĂŞncias governamentais
  • Professores universitários
  • PolĂ­ticos

O foco inicial dos atores da ameaça estava em alvos localizados na Coreia do Sul. No entanto, ao longo do tempo, ampliaram significativamente as suas operações para incluir entidades nas seguintes regiões: –

Além disso, para realizar e executar o ataque aos alvos, os atores da ameaça usaram dois métodos:-

  • Uma extensĂŁo maliciosa do Chrome
  • Aplicativos Android

Como sugerimos anteriormente, a actual campanha Kimsuky tem como alvo principalmente indivĂ­duos localizados apenas na Coreia do Sul.

No entanto, os mesmos TTPs poderiam ser usados ​​pelos atores da ameaça para atingir vítimas em todo o mundo. Portanto, é totalmente importante ficar atento aos TTPs usados ​​pelos atores da ameaça e mitigar tais cenários detectando-os.

Estratégia de Ataque

A estratégia de ataque Kimsuky começa com um e-mail de spear-phishing direcionado que incita a vítima a instalar uma extensão maliciosa do Chrome.

É importante observar que, além do navegador Chrome, esta extensão também pode infectar outros navegadores baseados em Chromium, como: –

A extensão pode ser identificada como “AF” e pode não aparecer na lista de extensões em circunstâncias normais. Para identificar a extensão maliciosa utilizada no ataque Kimsuky, os usuários devem inserir o seguinte endereço na barra de endereços do navegador:-

  • (cromo|edge|bravo)://extensões
NĂłs recomendamos:  Linux Mint ganha um Windows- Estilo do botĂŁo 'Mostrar área de trabalho'

A extensĂŁo ativa automaticamente o navegador da vĂ­tima assim que ela visita o Gmail por meio do navegador infectado. Ele intercepta e rouba o conteĂşdo da conta de e-mail da vĂ­tima assim que ela clica nela.

A extensão emprega uma técnica que aproveita a API Devtools disponível no navegador para enviar dados roubados ao servidor sob controle do invasor.

Para este ataque, Kimsuky usou os seguintes hashes para seus arquivos maliciosos: –

  • 012d5ffe697e33d81b9e7447f4aa338b
  • 51527624e7921a8157f820eb0ca78e29
  • 582a033da897c967faade386ac30f604
  • 04bb7e1a0b4f830ed7d1377a394bc717
  • 89f97e1d68e274b03bc40f6e06e2ba9a
  • 3458daa0dffdc3fbb5c931f25d7a1ec0

Kimsuki usa o seguinte malware Android para infectar dispositivos Android: –

  • FastViewer
  • Fogo rápido
  • Fastspy DEX

Como os hashes do FastViewer já foram revelados publicamente pelos pesquisadores, em dezembro de 2022, os atores da ameaça atualizaram o FastViewer para continuar a usá-lo.

Um e-mail de phishing ou outro ataque levou os operadores do Kimsuki a roubar a conta do Google da vítima, que ela usou para fazer login na conta. Também ficou evidente que os hackers abusam do recurso do Google Play que sincroniza informações da web para o telefone.

O recurso permite que os usuários instalem aplicativos em seus dispositivos vinculados diretamente de seus computadores, fornecendo um caminho para a instalação de malware nesses dispositivos.

Os invasores enviam o aplicativo malicioso ao site do desenvolvedor do console do Google Play sob o pretexto de “apenas testes internos”. Em seguida, eles adicionam o dispositivo da vítima como alvo de teste, solicitando ao Google Play que instale o aplicativo malicioso no dispositivo da vítima.

O malware Android utilizado por Kimsuky Ă© um RAT que fornece aos invasores uma variedade de recursos para realizar suas atividades maliciosas, como:-

  • Descartar carga maliciosa
  • Criar arquivos
  • Deletar arquivos
  • Roubar arquivos
  • Obtenha listas de contatos
  • Realizar chamadas
  • Monitorar SMS
  • Enviar SMS
  • Ative a câmera
  • Execute o registro de teclas
  • Ver a área de trabalho
NĂłs recomendamos:  Usuários do WhatsApp agora podem transferir seus dados do Android para iPhones

Com as táticas em constante evolução de Kimsuky no comprometimento de contas do Gmail, é imperativo que indivíduos e organizações permaneçam proativos na implementação de medidas de segurança abrangentes.

Leitura relacionada:

Recomendado: