Un avis conjoint sur la cybersécurité de l’Office fédéral allemand pour la protection de la Constitution (BfV) et du Service national de renseignement de la République de Corée (NIS) met en garde contre l’utilisation par Kimsuky des extensions Chrome pour voler les e-mails Gmail de la cible.
Kimsuky (alias Thallium, Velvet Chollima) est un groupe de menaces nord-coréen qui utilise le spear phishing pour mener du cyberespionnage contre des diplomates, des journalistes, des agences gouvernementales, des professeurs d’université et des politiciens. Initialement concentrés sur des cibles en Corée du Sud, les acteurs de la menace ont étendu leurs opérations au fil du temps pour cibler des entités aux États-Unis et en Europe.
L’avis de sécurité conjoint a été publié pour mettre en garde contre deux méthodes d’attaque utilisées par le groupe de piratage : une extension Chrome malveillante et des applications Android.
Alors que la campagne actuelle cible les personnes en Corée du Sud, les techniques utilisées par Kimsuky peuvent être appliquées à l’échelle mondiale, il est donc essentiel de sensibiliser le public.
Voler des e-mails Gmail
L’attaque commence par un e-mail de harponnage invitant la victime à installer une extension Chrome malveillante, qui s’installera également dans les navigateurs basés sur Chromium, tels que Microsoft Edge ou Brave.
L’extension est nommée « AF » et n’est visible dans la liste des extensions que si l’utilisateur saisit « (chrome|edge| brave)://extensions » dans la barre d’adresse du navigateur.
Une fois que la victime visite Gmail via le navigateur infecté, l’extension s’active automatiquement pour intercepter et voler le contenu des e-mails de la victime.
L’extension abuse de l’API Devtools (API des outils de développement) sur le navigateur pour envoyer les données volées au serveur relais de l’attaquant, volant furtivement leurs e-mails sans casser ou contourner les protections de sécurité du compte.
Ce n’est pas la première fois que Kimsuky utilise des extensions Chrome malveillantes pour voler des e-mails à partir de systèmes piratés.
En juillet 2022, Volexity a signalé une campagne similaire utilisant une extension nommée « SHARPEXT ». En décembre 2018, Netscout a rapporté que Kimsuky suivait la même tactique contre des cibles universitaires.
Cette fois, les hachages des fichiers malveillants utilisés par Kimsuky dans ses dernières attaques sont :
- 012D5FFE697E33D81B9E7447F4AA338B (manifest.json)
- 582A033DA897C967FAADE386AC30F604 (bg.js)
- 51527624E7921A8157F820EB0CA78E29 (dev.js)
Logiciels malveillants Android
Le malware Android utilisé par Kimsuky s’appelle « FastViewer », « Fastfire » ou « Fastspy DEX », et il est connu depuis octobre 2022, lorsqu’il a été vu se faisant passer pour un plug-in de sécurité ou un visualiseur de documents.
Cependant, la société coréenne de cybersécurité AhnLab rapporte que les acteurs de la menace ont mis à jour FastViewer en décembre 2022, ils ont donc continué à utiliser le logiciel malveillant après que ses hachages aient été rendus publics.
L’attaque se déroule lorsque Kimsuky se connecte au compte Google de la victime, qu’elle a précédemment volé par le biais d’e-mails de phishing ou d’autres moyens.
Ensuite, les pirates abusent de la fonction de synchronisation Web-téléphone de Google Play, qui permet aux utilisateurs d’installer des applications sur leurs appareils liés à partir de leur ordinateur (site Web Play Store) pour installer le logiciel malveillant.
L’application malveillante que les attaquants demandent à Google Play d’installer sur l’appareil de la victime est soumise sur le site des développeurs de la console Google Play pour « test interne uniquement », et l’appareil de la victime est censé être ajouté comme cible de test.
Cette technique ne fonctionnerait pas pour les infections à grande échelle, mais elle est exceptionnelle et assez furtive lorsqu’il s’agit d’opérations de ciblage étroit comme celles menées par Kimsuky.
Le malware Android est un outil RAT (cheval de Troie d’accès à distance) permettant aux pirates de déposer, créer, supprimer ou voler des fichiers, d’obtenir des listes de contacts, d’effectuer des appels, de surveiller ou d’envoyer des SMS, d’activer la caméra, d’effectuer un enregistrement de frappe et d’afficher le bureau.
Alors que Kimsuky continue de faire évoluer ses tactiques et de développer des méthodes plus sophistiquées pour compromettre les comptes Gmail, les individus et les organisations doivent rester vigilants et mettre en œuvre des mesures de sécurité robustes.
Cela inclut de maintenir les logiciels à jour, de se méfier des e-mails ou des liens inattendus et de surveiller régulièrement les comptes pour détecter toute activité suspecte.