Ciberdelincuentes norcoreanos usan extensiones de Chrome para robar correos electrónicos de Gmail

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Las agencias gubernamentales de Alemania y Corea del Sur han alertado esta semana sobre una nueva campaña de spearphishing de un conocido grupo norcoreano dirigida a expertos de la península.

La campaña consigue acceder a las cuentas de Google de las víctimas a través de dos métodos de ataque: la infección de teléfonos Android mediante una app maliciosa en Google Play y el uso de una extensión maliciosa del navegador web Chromium.

El grupo de amenazas persistentes avanzadas (APT) -cuyos múltiples nombres incluyen TA406 y Thallium- ha estado operando desde 2012, dirigiéndose principalmente a diplomáticos, organizaciones no gubernamentales, grupos de reflexión y expertos en temas relacionados con la península coreana.

El aviso, publicado el lunes por la Agencia de Protección Constitucional de Alemania y el Servicio Nacional de Inteligencia de la República de Corea, describe una campaña muy selectiva centrada en víctimas conocidas.

“El Servicio Nacional de Inteligencia y la Agencia de Protección Constitucional creen que el ataque informático descrito se dirige principalmente a expertos de la península coreana y Corea del Norte, pero dado que la tecnología explotada en este ataque puede utilizarse universalmente, puede ser utilizada por grupos de expertos en asuntos exteriores y seguridad de todo el mundo, así como por personas no especificadas”, escribieron.

Al igual que en campañas anteriores, Kimsuky utilizó ataques de spearphishing para obtener el acceso inicial “haciéndose pasar por administradores de portales y conocidos”. En algunos casos, los correos inducían la instalación de una extensión maliciosa en navegadores basados en Chromium, que se habilitaba automáticamente. Cuando las víctimas abren Gmail, el programa roba los correos electrónicos de la persona, que se envían a un servidor perteneciente a los atacantes.

En otro ataque, los actores de Kimsuky añaden una aplicación maliciosa a Google Play Console para “pruebas internas” y dan permiso a una persona objetivo para acceder a ella. Tras acceder a sus credenciales de inicio de sesión en un ataque de spearphishing, descargan la aplicación a través de la cuenta de la víctima, que luego se sincroniza con su smartphone Android.

Una alerta de octubre de 2020 sobre el grupo de la Agencia de Ciberseguridad e Infraestructura de Estados Unidos describía a Kimsuky como “probablemente encargado por el régimen norcoreano de una misión de recopilación de inteligencia global”. En algunos casos, los ciberdelincuentes se hicieron pasar por reporteros surcoreanos para acceder a los objetivos.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *