Hackers norcoreanos usan extensiones de Chrome infectadas para robar correos Gmail a políticos

El Servicio Nacional de Inteligencia (NIS) de República de Corea y la Oficina Federal para la Protección de la Constitucional (BfV) de Alemania han lanzado un aviso sobre una campaña de ataques de hackers norcoreanos que utilizan extensiones de Chrome infectadas para robar correos electrónicos de Gmail.

MIRA: Meta atraviesa demanda por no hacer nada frente al tráfico de personas en Facebook e Instagram

Estos hackers son conocidos como Kimsuky, pero también tienen otros nombres como Thallium y Velvet Chollima. Se trata de un grupo de actores maliciosos de Corea del Norte que utiliza el ‘phishing’ ―se hacen pasar por una fuente legítima― para realizar ciberespionaje dirigido a diplomáticos, políticos, periodistas, agencias gubernamentales o, incluso, profesores universitarios.

Ahora, el Servicio de Inteligencia de la República de Corea y la BfV de Alemania han lanzado un aviso conjunto para “concientizar” de su actividad, tras identificar una nueva campaña de ataques de Kimsuky que, aunque se dirige principalmente a víctimas coreanas, también se ha detectado en Estados Unidos y Europa.

MIRA: ChatGPT vs. los poetas: ¿Puede la IA escribir poemas?

En este caso, el grupo utiliza una extensión maliciosa de Google Chrome que se propaga a través de un correo electrónico fraudulento enviado a la potencial víctima. En él, se le anima a instalar dicha extensión en Chrome, aunque en realidad es puede instalarse en navegadores basados en Chromium, como son Microsoft Edge o Brave.

Una vez instalada, la extensión, que aparece bajo el nombre ‘AF’, se activa cuando el usuario abre su cuenta de Gmail, sin que se de cuenta. Es en este momento cuando el malware comienza a interceptar todo el contenido de los mensajes, aunque las autoridades han alertado de que también tiene acceso a los datos almacenados en servicios en la nube.

MIRA: Netflix: los códigos secretos para ver las películas y series ocultas

Para robar la información, la extensión ‘AF’ utiliza la API Devtools, una conjunto de herramientas para desarrolladores web integrado en el navegador de Google Chrome. Con ello, los actores maliciosos enviaban los datos robados a su servidor de retransmisión. Así, conseguían todos los datos “en secreto”, sin pasar por la configuración de seguridad del correo electrónico.

Desde Corea y Alemania advierten de que estos ataques están dirigidos principalmente a “expertos” en la península de Corea y Corea del Norte. Sin embargo, advierten que “el blanco de ataque se puede ampliar a un número no especificado de personas”.

‘MALWARE’ EN DISPOSITIVOS ANDROID

Por otra parte, también han registrado una campaña Kimsuky en la que utiliza una aplicación fraudulenta alojada en Google Play Store, que se conoce desde octubre del pasado año 2022 como ‘FastViewer’, ‘Fastfire’ o ‘Fastspy DEX’, tal y como recuerda BleepingComputer.

MIRA: Twitter Blue ya está disponible en todo el mundo: ¿cuánto cuesta la suscripción en Perú?

Esta otra forma de operar implica el robo de las credenciales de acceso de la cuenta de Gmail de las víctimas mediante correos fraudulentos. Entonces, aprovechan la función de sincronización del smartphone con la tienda de aplicaciones para descargar e instalar la app maliciosa.

Este malware es en realidad un troyano de acceso remoto (RAT), y con él, los ciberdelincuentes pueden acceder al ‘smartphone’ infectado, a la información que contiene y tomar el control para realizar acciones como llamar, enviar SMS o activar la cámara.