Les pirates soutenus par la Corée du Nord ont un moyen intelligent de lire votre Gmail

Les pirates soutenus par la Corée du Nord ont un moyen intelligent de lire votre Gmail

fausses images

Des chercheurs ont découvert des logiciels malveillants inédits que les pirates nord-coréens utilisaient pour lire et télécharger subrepticement des e-mails et des pièces jointes à partir des comptes Gmail et AOL des utilisateurs infectés.

Le malware, surnommé SHARPEXT par les chercheurs de la société de sécurité Volexity, utilise des moyens intelligents pour installer une extension de navigateur pour les navigateurs Chrome et Edge, a rapporté Volexity dans un article de blog. Les services de messagerie ne peuvent pas détecter l’extension, et comme le navigateur a déjà été authentifié à l’aide des protections d’authentification multi-facteurs existantes, cette mesure de sécurité de plus en plus populaire ne joue aucun rôle dans l’arrêt de la compromission du compte.

Le malware est utilisé depuis “plus d’un an”, a déclaré Volexity, et est l’œuvre d’un groupe de hackers que la société suit sous le nom de SharpTongue. Le groupe est parrainé par le gouvernement nord-coréen et chevauche un groupe suivi sous le nom de Kimsuky par d’autres chercheurs. SHARPEXT cible des organisations aux États-Unis, en Europe et en Corée du Sud qui travaillent sur les armes nucléaires et d’autres questions que la Corée du Nord considère importantes pour sa sécurité nationale.

Le président de Volexity, Steven Adair, a déclaré dans un e-mail que l’extension est installée “via le spear phishing et l’ingénierie sociale où la victime est amenée à ouvrir un document malveillant. obligeant la victime à installer une extension de navigateur plutôt que d’être un mécanisme de post-exploitation pour la persistance et le vol de données.” Dans son incarnation actuelle, le malware ne fonctionne que sur Windows, mais Adair a déclaré qu’il n’y avait aucune raison pour qu’il ne puisse pas être étendu pour infecter également les navigateurs fonctionnant sous macOS ou Linux.

Le billet de blog a ajouté : “La propre visibilité de Volexity montre que l’extension a été assez réussie, car les journaux obtenus par Volexity montrent que l’attaquant a réussi à voler des milliers d’e-mails à plusieurs victimes grâce au déploiement du malware. “.

Installer une extension de navigateur pendant une opération de phishing sans que l’utilisateur final ne s’en aperçoive n’est pas facile. Les développeurs de SHARPEXT ont clairement prêté attention à des recherches telles que celles publiées ici, ici et ici, montrant comment un mécanisme de sécurité dans le moteur de navigateur Chromium empêche les logiciels malveillants d’apporter des modifications aux paramètres utilisateur sensibles. Chaque fois qu’une modification légitime est effectuée, le navigateur effectue un hachage cryptographique d’une partie du code. Au démarrage, le navigateur vérifie les hachages, et si l’un d’entre eux ne correspond pas, le navigateur demande de restaurer les paramètres précédents.

Pour que les attaquants contournent cette protection, ils doivent d’abord extraire les éléments suivants de l’ordinateur qu’ils compromettent :

  • Une copie du fichier resources.pak du navigateur (qui contient la graine HMAC utilisée par Chrome)
  • La valeur S-ID de l’utilisateur
  • Les fichiers d’origine des préférences et des préférences système de l’utilisateur sécurisé

Après avoir modifié les fichiers de préférences, SHARPEXT charge automatiquement l’extension et exécute un script PowerShell qui active DevTools, un paramètre qui permet au navigateur d’exécuter du code et des paramètres personnalisés.

“Le script s’exécute dans une boucle infinie pour vérifier les processus associés aux navigateurs ciblés”, a expliqué Volexity. “Si un navigateur cible est trouvé en cours d’exécution, le script vérifie le titre de l’onglet pour un mot-clé spécifique (par exemple, ‘05101190’ ou ‘Tab+’ selon la version de SHARPEXT). Le mot-clé spécifique est inséré dans le titre par l’extension malveillante lorsqu’un onglet actif change ou lorsqu’une page se charge.”

Volexité

Le message continuait :

Les frappes envoyées sont égales Control+Shift+J, le raccourci pour activer le panneau DevTools. Enfin, le script PowerShell masque la fenêtre DevTools nouvellement ouverte en utilisant l’API ShowWindow() et le SW_HIDE drapeau. À la fin de ce processus, DevTools est activé sur l’onglet actif, mais la fenêtre est masquée.

De plus, ce script est utilisé pour masquer toutes les fenêtres susceptibles d’alerter la victime. Microsoft Edge, par exemple, affiche périodiquement un message d’avertissement à l’utilisateur (Figure 5) si les extensions sont exécutées en mode développeur. Le script vérifie en permanence si cette fenêtre apparaît et la masque à l’aide de la ShowWindow() et le SW_HIDE drapeau.

Volexité

Une fois installée, l’extension peut effectuer les requêtes suivantes :

Données HTTP POST La description
mode=liste Répertoriez les e-mails précédemment collectés de la victime pour vous assurer qu’aucun doublon n’est téléchargé. Cette liste est continuellement mise à jour au fur et à mesure de l’exécution de SHARPEXT.
mode=domaine Dressez la liste des domaines de messagerie avec lesquels la victime a déjà communiqué. Cette liste est continuellement mise à jour au fur et à mesure de l’exécution de SHARPEXT.
mode=noir Collectez une liste noire des expéditeurs d’e-mails qui doivent être ignorés lors de la collecte des e-mails de la victime.
mode=nouveauD&d=[data] Ajouter un domaine à la liste de tous les domaines vus par la victime.
mode=attacher&nom=[data]&idx=[data]&corps=[data] Téléchargez une nouvelle pièce jointe sur le serveur distant.
mode = nouveau et milieu =[data]&corps=[data] Téléchargez les données Gmail sur un serveur distant.
mode=liste sportive Commenté par l’agresseur ; recevoir une liste des pièces jointes à exfiltrer.
mode=new_aol&mid=[data]&corps=[data] Téléchargez les données AOL sur le serveur distant.

SHARPEXT permet aux pirates de créer des listes d’adresses e-mail pour ignorer et suivre les e-mails ou les pièces jointes qui ont déjà été volés.

Volexity a créé le résumé suivant de l’orchestration des différents composants SHARPEXT qu’il a analysés :

Volexité

Le billet de blog fournit des images, des noms de fichiers et d’autres indicateurs que les personnes formées peuvent utiliser pour déterminer si elles ont été attaquées ou infectées par ce logiciel malveillant. La société a averti que la menace qu’elle représente a augmenté au fil du temps et ne devrait pas disparaître de si tôt.

“Lorsque Volexity a rencontré SHARPEXT pour la première fois, il semblait être un outil de développement précoce contenant de nombreux bogues, une indication que l’outil était immature”, a déclaré la société. “Les dernières mises à jour et la maintenance continue montrent que l’attaquant atteint ses objectifs et trouve de l’intérêt à continuer à l’affiner.”

#Les #pirates #soutenus #par #Corée #Nord #ont #moyen #intelligent #lire #votre #Gmail

Leave a Comment

Your email address will not be published.