Un acteur menaçant opérant avec des intérêts alignés sur la Corée du Nord a déployé une extension malveillante sur les navigateurs Web basés sur Chromium, capable de voler le contenu des e-mails de Gmail et AOL.

La société de cybersécurité Volexity a attribué le malware à un cluster d’activités qu’elle appelle Langue de vipèredont on dit qu’il partage des chevauchements avec un collectif contradictoire publiquement désigné sous le nom de Kimsuky.

SharpTongue a l’habitude de distinguer les personnes travaillant pour des organisations aux États-Unis, en Europe et en Corée du Sud qui « travaillent sur des sujets impliquant la Corée du Nord, les questions nucléaires, les systèmes d’armes et d’autres questions d’intérêt stratégique pour la Corée du Nord », les chercheurs Paul Rascagneres et Thomas Lancastre a dit.

KimsukyL’utilisation d’extensions escrocs dans les attaques n’est pas nouvelle. En 2018, l’acteur voyait un plugin Chrome dans le cadre d’une campagne appelée Crayon volé pour infecter les victimes et voler les cookies et les mots de passe du navigateur.

Mais le dernier effort d’espionnage est différent en ce sens qu’il utilise l’extension, nommée Sharpext, pour piller les données de messagerie. « Le logiciel malveillant inspecte et exfiltre directement les données du compte de messagerie Web d’une victime lorsqu’elle le parcourt », ont noté les chercheurs.

Les navigateurs ciblés incluent les navigateurs Google Chrome, Microsoft Edge et Naver’s Whale, avec le logiciel malveillant de vol de courrier conçu pour collecter des informations à partir des sessions Gmail et AOL.

L’installation du module complémentaire s’effectue en remplaçant le navigateur Préférences et préférences sécurisées fichiers avec ceux reçus d’un serveur distant suite à une violation réussie d’un système Windows cible.

Cette étape est réussie en activant le Panneau DevTools dans l’onglet actif pour voler les e-mails et les pièces jointes de la boîte aux lettres d’un utilisateur, tout en prenant simultanément des mesures pour masquer tout messages d’avertissement sur l’exécution des extensions en mode développeur.

« C’est la première fois que Volexity observe des extensions de navigateur malveillantes utilisées dans le cadre de la phase de post-exploitation d’un compromis », ont déclaré les chercheurs. « En volant des données de messagerie dans le contexte d’une session déjà connectée d’un utilisateur, l’attaque est cachée au fournisseur de messagerie, ce qui rend la détection très difficile. »

Les découvertes arrivent plusieurs mois après que l’acteur Kimsuky a été connecté à des intrusions contre des institutions politiques situées en Russie et en Corée du Sud pour livrer une version mise à jour d’un cheval de Troie d’accès à distance connu sous le nom de Konni.

La semaine dernière, la société de cybersécurité Securonix a dévoilé une campagne d’attaque en cours exploitant des cibles de grande valeur, notamment la République tchèque, la Pologne et d’autres pays, dans le cadre d’une campagne baptisée STIFF#BIZON pour distribuer le malware Konni.

Alors que les tactiques et les outils utilisés dans les intrusions indiquent un groupe de piratage nord-coréen appelé APT37, les preuves recueillies concernant l’infrastructure d’attaque suggèrent l’implication de l’acteur APT28 aligné sur la Russie (alias Fancy Bear ou Sofacy).

« En fin de compte, ce qui rend ce cas particulier intéressant, c’est l’utilisation du malware Konni en conjonction avec des similitudes commerciales avec APT28 », ont déclaré les chercheurs. a ditajoutant qu’il pourrait s’agir d’un groupe se faisant passer pour un autre afin de confondre attribution et échapper à la détection.