Un acteur malveillant opérant avec des intérêts alignés sur la Corée du Nord a déployé une extension malveillante sur les navigateurs Web basés sur Chromium, capable de voler le contenu des e-mails de Gmail et AOL. La société de cybersécurité Volexity a attribué le malware à un cluster d’activités qu’elle appelle SharpTongue, qui partagerait des chevauchements avec un collectif contradictoire publiquement désigné sous le nom de Kimsuky. SharpTongue a l’habitude de distinguer les personnes travaillant pour des organisations aux États-Unis, en Europe et en Corée du Sud qui « travaillent sur des sujets impliquant la Corée du Nord, les questions nucléaires, les systèmes d’armes et d’autres questions d’intérêt stratégique pour la Corée du Nord », les chercheurs Paul Rascagneres et dit Thomas Lancaster. L’utilisation par Kimsuky d’extensions escrocs dans les attaques n’est pas nouvelle. En 2018, l’acteur a été vu en train d’utiliser un plugin Chrome dans le cadre d’une campagne appelée Stolen Pencil pour infecter les victimes et voler les cookies et les mots de passe du navigateur. Mais le dernier effort d’espionnage est différent en ce sens qu’il utilise l’extension, nommée Sharpext, pour piller les données de messagerie. « Le logiciel malveillant inspecte et exfiltre directement les données du compte de messagerie Web d’une victime lorsqu’elle le parcourt », ont noté les chercheurs. Les navigateurs ciblés incluent les navigateurs Google Chrome, Microsoft Edge et Naver’s Whale, avec le logiciel malveillant de vol de courrier conçu pour collecter des informations à partir des sessions Gmail et AOL. L’installation du module complémentaire s’effectue en remplaçant les fichiers Préférences et Préférences sécurisées du navigateur par ceux reçus d’un serveur distant suite à une violation réussie d’un système Windows cible.
Cette étape est réussie en permettant au panneau DevTools dans l’onglet actif de voler les e-mails et les pièces jointes de la boîte aux lettres d’un utilisateur, tout en prenant simultanément des mesures pour masquer tous les messages d’avertissement concernant l’exécution des extensions en mode développeur. Volexity a qualifié la campagne de « plutôt réussie », citant la capacité de l’attaquant à « voler des milliers d’e-mails à plusieurs victimes grâce au déploiement du malware ». « C’est la première fois que Volexity observe des extensions de navigateur malveillantes utilisées dans le cadre de la phase de post-exploitation d’un compromis », ont déclaré les chercheurs. « En volant des données de messagerie dans le contexte d’une session déjà connectée d’un utilisateur, l’attaque est cachée au fournisseur de messagerie, ce qui rend la détection très difficile. » Les découvertes arrivent plusieurs mois après que l’acteur Kimsuky a été connecté à des intrusions contre des institutions politiques situées en Russie et en Corée du Sud pour livrer une version mise à jour d’un cheval de Troie d’accès à distance connu sous le nom de Konni. La semaine dernière, la société de cybersécurité Securonix a dévoilé une campagne d’attaque en cours exploitant des cibles de grande valeur, notamment la République tchèque, la Pologne et d’autres pays, dans le cadre d’une campagne baptisée STIFF#BIZON pour distribuer le malware Konni. Alors que les tactiques et les outils utilisés dans les intrusions indiquent un groupe de piratage nord-coréen appelé APT37, les preuves recueillies concernant l’infrastructure d’attaque suggèrent l’implication de l’acteur APT28 aligné sur la Russie (alias Fancy Bear ou Sofacy). « En fin de compte, ce qui rend ce cas particulier intéressant, c’est l’utilisation du logiciel malveillant Konni en conjonction avec des similitudes commerciales avec APT28 », ont déclaré les chercheurs, ajoutant qu’il pourrait s’agir d’un cas d’un groupe se faisant passer pour un autre afin de confondre attribution et échapper à la détection.