Se dice que un actor de amenazas que se cree que está asociado con Corea del Norte está desplegando una extensión de navegador maliciosa para espiar a los usuarios de Gmail y AOL.
Se cree que un actor de amenazas asociado a Corea del Norte está desplegando una extensión de navegador maliciosa denominada "SHARPEXT" para espiar a los usuarios de Gmail y AOL. Corea del Norte ha estado a menudo en el punto de mira de las empresas de ciberseguridad y las agencias gubernamentales occidentales por ayudar e instigar a los actores de amenazas que tienen como objetivo específico los intereses estadounidenses y occidentales. El gobierno estadounidense tiene incluso un nombre para la actividad cibernética maliciosa del régimen norcoreano, llamándola "Hidden Cobra". Según la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA), Corea del Norte emplea la ciberactividad maliciosa para recopilar información, realizar ataques y generar ingresos.
La ciberdelincuencia ha aumentado en los últimos años, alcanzando su punto álgido durante la pandemia. Varios tipos de ciberdelitos han aumentado durante este tiempo, como el phishing, el ransomware, el spyware y las estafas de criptografía. Otro método popular consiste en utilizar software falso, incluidas aplicaciones antivirus falsas, para distribuir cargas útiles maliciosas. Aunque la mayoría de los ataques proceden de ciberdelincuentes organizados, las ciberamenazas patrocinadas por el Estado, procedentes de Corea del Norte, China y Rusia, también están aumentando rápidamente. Según un informe del FBI, el año pasado fue excepcionalmente malo para las víctimas de la ciberdelincuencia, ya que los ciudadanos perdieron casi 7.000 millones de dólares por ataques y estafas en línea.
Los investigadores de la empresa de ciberseguridad Volexity han detallado una nueva actividad de un actor de amenazas llamado SharpTongue (también conocido como Kimsuky). Según ellos, el grupo de ciberdelincuentes está utilizando medios ingeniosos para instalar una extensión de navegador maliciosa en navegadores basados en Chromium como Google Chrome y Microsoft Edge. La extensión no puede ser detectada por el correo de Gmail o AOL, ni puede ser frustrada por los protocolos de seguridad establecidos como la autenticación de dos factores. Según los investigadores, los primeros casos del malware SHARPEXT se detectaron en septiembre de 2021. Sin embargo, a diferencia de otros programas maliciosos desplegados por SharpTougue, la nueva extensión no intenta robar nombres de usuario y contraseñas. En su lugar, "inspecciona y exfiltra directamente los datos de la cuenta de correo web de la víctima mientras navega por ella."
El malware actualmente sólo afecta a los usuarios de Windows
En un correo electrónico enviado a Ars Technica, el presidente de Volexity, Steven Adair, dijo que la extensión se instala a través de "spear phishing e ingeniería social donde la víctima es engañada para que abra un documento malicioso." El malware actualmente sólo funciona en Windows, pero Adair cree que con algunos cambios, también puede hacerse funcionar en otras plataformas como macOS y Linux, lo que significa que la amenaza podría incluso extenderse a los usuarios de Chrome en Mac o Linux.
Armado con el nuevo malware, se dice que SharpToungue se dirige a individuos y organizaciones en los Estados Unidos, Europa y Corea del Sur. Se dice que la mayoría de las víctimas son entidades que trabajan en cuestiones geopolíticas estratégicas relacionadas con Corea del Norte, incluyendo sistemas de armamento nuclear y armas. Según Volexity, SHARPEXT ha madurado mucho en el último año y es probable que la amenaza que representa aumente con el tiempo.
