Investigadores de seguridad han descubierto una extensión de navegador maliciosa para Chrome y otros navegadores basados en Chromium capaces de robar el contenido de su cuenta de correo electrónico de Gmail.
La campaña de malware fue detectada por dos agencias de seguridad nacional: la Oficina Federal Alemana para la Protección de la Constitución y el Servicio Nacional de Inteligencia de la República de Corea.
Estas dos agencias emitieron una declaración conjunta, advirtiendo sobre la campaña, instando a la gente a estar alerta, pero en particular a los diplomáticos, periodistas, profesores universitarios, políticos y empleados del gobierno, quienes, según se informa, son los principales objetivos.
Entregado a través de phishing
AF es un complemento de Google Chrome distribuido por un actor de amenazas conocido como Kimsuky (o Thallium). Este actor de amenazas tiene su sede en Corea del Norte, afirman las dos agencias, y supuestamente se dirige a personas de alto perfil en sus programas de ciberespionaje.
Si bien inicialmente se centró en los objetivos de Corea del Sur, Thallium amplió recientemente su lista de objetivos a Europa y los Estados Unidos.
AF se entrega a sus víctimas a través de phishing. El grupo enviaría el correo electrónico «urgente» habitual, diciéndole a la víctima que descargue el complemento en su terminal. (se abre en una pestaña nueva). Si está instalado, el malware no aparecerá en la lista de complementos de Chrome y solo será visible en la lista de extensiones. Una vez instalado, solo se necesita una visita a Gmail para que el complemento se ejecute y extraiga todas sus actividades.
Kimsuky parece ser un actor patrocinado por el estado centrado en el espionaje cibernético y la recopilación de inteligencia. Según CISA, el grupo ha estado activo durante más de una década.
En 2015, fue acusado de robar datos confidenciales de Korea Hydro & Nuclear Power, y cuatro años después, en 2019, fue acusado de atacar a diplomáticos, militares y funcionarios gubernamentales retirados de Corea del Sur. Hace dos años, Kimsuky fue acusado de estar al acecho en las redes internas pertenecientes al Instituto de Investigación de Energía Atómica de Corea.
Vía: BleepingComputer (se abre en una pestaña nueva)