Publicado 24/03/2023 08:08

Portaltic.-Hackers norcoreanos roban correos de Gmail a políticos y diplomáticos a través de extensiones de Chrome infectadas

Archivo - Phishing a través del correo electrónico.
Archivo - Phishing a través del correo electrónico. - PIXABY - Archivo

   MADRID, 24 Mar. (Portaltic/EP) -

   El Servicio Nacional de Inteligencia (NIS) de República de Corea y la Oficina Federal para la Protección de la Constitucional (BfV) de Alemania han lanzado un aviso sobre una campaña de ataques de hackers norcoreanos que utilizan extensiones de Chrome infectadas para robar correos electrónicos de Gmail.

   Estos hackers son conocidos como Kimsuky, pero también tienen otros nombres como Thallium y Velvet Chollima. Se trata de un grupo de actores maliciosos de Corea del Norte que utiliza el 'phishing' -se hacen pasar por una fuente legítima- para realizar ciberespionaje dirigido a diplomáticos, políticos, periodistas, agencias gubernamentales o, incluso, profesores universitarios.

   Ahora, el Servicio de Inteligencia de la República de Corea y la BfV de Alemania han lanzado un aviso conjunto para "concienciar" de su actividad, tras identificar una nueva campaña de ataques de Kimsuky que, aunque se dirige principalmente a víctimas coreanas, también se ha detectado en Estados Unidos y Europa.

En este caso, el grupo utiliza una extensión maliciosa de Google Chrome que se propaga a través de un correo electrónico fraudulento enviado a la potencial víctima. En él, se le anima a instalar dicha extensión en Chrome, aunque en realidad es puede instalarse en navegadores basados en Chromium, como son Microsoft Edge o Brave-.

   Una vez instalada, la extensión, que aparece bajo el nombre 'AF', se activa cuando el usuario abre su cuenta de Gmail, sin que se dé cuenta. Es en este momento cuando el 'malware' comienza a interceptar todo el contenido de los mensajes, aunque las autoridades han alertado de que también tiene acceso a los datos almacenados en servicios en la nube.

   Para robar la información, la extensión 'AF' utiliza la API Devtools, una conjunto de herramientas para desarrolladores web integrado en el navegador de Google Chrome. Con ello, los actores maliciosos enviaban los datos robados a su servidor de retransmisión. Así, conseguían todos los datos "en secreto", sin pasar por la configuración de seguridad del correo electrónico.

   Desde Corea y Alemania advierten de que estos ataques están dirigidos principalmente a "expertos" en la península de Corea y Corea del Norte. Sin embargo, advierten que "el blanco de ataque se puede ampliar a un número no especificado de personas".

'MALWARE' EN DISPOSITIVOS ANDROID

   Por otra parte, también han registrado una campaña Kimsuky en la que utiliza una aplicación fraudulenta alojada en Google Play Store, que se conoce desde octubre del pasado año 2022 como 'FastViewer', 'Fastfire' o 'Fastspy DEX', tal y como recuerda BleepingComputer.

Esta otra forma de operar implica el robo de las credenciales de acceso de la cuenta de Gmail de las víctimas mediante correos fraudulentos. Entonces, aprovechan la función de sincronización del 'smartphone' con la tienda de aplicaciones para descargar e instalar la 'app' maliciosa.

   Este 'malware' es en realidad un troyano de acceso remoto (RAT), y con él, los ciberdelincuentes pueden acceder al 'smartphone' infectado, a la información que contiene y tomar el control para realizar acciones como llamar, enviar SMS o activar la cámara.