Diz-se que um agente de ameaças que se acredita estar associado à Coreia do Norte está implantando uma extensão de navegador maliciosa apelidada de ‘SHARPEXT‘ para espionar usuários do Gmail e AOL. A Coreia do Norte muitas vezes está sob o esquadrão de empresas de segurança cibernética e agências governamentais ocidentais por ajudar e favorecer agentes de ameaças que visam especificamente interesses americanos e ocidentais. O governo dos EUA até tem um nome para a atividade cibernética maliciosa do regime norte-coreano, chamando-a de ‘Hidden Cobra’. De acordo com a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), a Coreia do Norte emprega atividades cibernéticas maliciosas para coletar inteligência, realizar ataques e gerar receita.
O cibercrime tem aumentado nos últimos anos, atingindo seu pico durante a pandemia. Vários tipos diferentes de crimes cibernéticos tiveram um aumento durante esse período, incluindo phishing, ransomware, spyware e golpes de criptografia. Outro método popular envolve o uso de software falso, incluindo aplicativos antivírus falsos, para entregar cargas maliciosas. Embora a maioria dos ataques venha de criminosos cibernéticos organizados, as ameaças cibernéticas patrocinadas pelo Estado da Coreia do Norte, China e Rússia também estão aumentando rapidamente. De acordo com um relatório do FBI, o ano passado foi excepcionalmente ruim para as vítimas de crimes cibernéticos, com as pessoas perdendo quase US$ 7 bilhões em ataques e golpes online.
Pesquisadores da empresa de segurança cibernética Volexidade detalharam uma nova atividade de um agente de ameaças chamado SharpTongue (também conhecido como Kimsuky). Segundo eles, o grupo de crimes cibernéticos está usando meios engenhosos para instalar uma extensão de navegador maliciosa em navegadores baseados em Chromium, como Google Chrome e Microsoft Edge. A extensão não pode ser detectada pelo Gmail ou pelo correio da AOL, nem pode ser frustrada por protocolos de segurança estabelecidos, como autenticação de dois fatores. De acordo com os pesquisadores, as instâncias iniciais do malware SHARPEXT foram detectadas em setembro de 2021. No entanto, ao contrário de outros malwares implantados pela SharpTougue, a nova extensão não tenta roubar nomes de usuário e senhas. Em vez disso, ele “inspeciona e extrai dados diretamente da conta de webmail de uma vítima enquanto ela navega.”
Em um e-mail para Ars Technicao presidente da Volexity, Steven Adair, disse que a extensão é instalada através “spear phishing e engenharia social onde a vítima é enganada para abrir um documento malicioso.” Atualmente, o malware funciona apenas no Windows, mas Adair acredita que, com algumas alterações, também pode funcionar em outras plataformas como macOS e Linux, o que significa que a ameaça pode se espalhar para usuários do Chrome em Mac ou Linux.
Armado com o novo malware, diz-se que o SharpToungue tem como alvo indivíduos e organizações nos EUA, Europa e Coreia do Sul. Diz-se que a maioria das vítimas são entidades que estão trabalhando em questões geopolíticas estratégicas envolvendo a Coreia do Norte, incluindo armamento nuclear e sistemas de armas. De acordo com a Volexity, SHARPEXT tornou-se muito mais maduro ao longo do ano passado e a ameaça que ele representa provavelmente só aumentará com o tempo.
Fonte: Volexidade, Ars Technica
