Un grupo de ciberdelincuentes está haciendo uso de una extensión del navegador de Google Chrome para espiar a las víctimas y robar sus emails.

Según han detectado investigadores de Volexity, estos delincuentes utilizan la extensión de navegador SHARPEXT que admite tres navegadores, Chrome, Edge y Whale. Esto les permite espiar a los usuarios, e incluso robar sus correos electrónicos a los que tengan cuentas de Gmail y AOL.

El modus operandi de estos delincuentes es sencillo: instalan una extensión maliciosa después de comprometer el sistema utilizando un script VBS personalizado. Este reemplaza los archivos de ‘Preferencias’ y ‘Preferencias seguras’ con los descargados del servidor de los delincuentes.

Una vez que los nuevos archivos de preferencias se descargan en el dispositivo infectado, el navegador web carga automáticamente la extensión SHARPEXT.

A partir de este momento, el malware inspecciona y filtra directamente los datos de la cuenta de correo web de la víctima mientras la navega por Internet.

La extensión de Chrome como facilitador

Si bien estos investigadores ya descubrieron la existencia de esta extensión en septiembre del pasado año, alertan de que ha experimentado una importante evolución. Actualmente está en la versión 3.0 y los riesgos que conlleva son mayores, al poder conseguir más datos y afectar más a la privacidad.

Una vez que el usuario inicia la sesión de correo electrónico, los delincuentes consiguen acceder a todo el contenido sin que se percate de ello ya que los proveedores de correo electrónico como Gmail no detectan que hay un problema.

Esto da a los atacantes el tiempo necesario para que puedan revisar correos, robar información, o adjuntar archivos maliciosos a un email, entre otras opciones.

Volexity Chrome extension navegador espiar robar emails noticia bit life media

Además, el flujo de trabajo de la extensión no activará ninguna alerta de actividad sospechosa en las cuentas de las víctimas, lo que garantiza que la actividad maliciosa no se descubra al consultar la página de estado de la cuenta de correo web en busca de alertas.

En la última campaña detectada utilizando esta extensión maliciosa se encontraron muchas similitudes con ataques realizados por Kimsuky, el grupo de ciberdelincuentes que cuenta con el respaldo del gobierno norcoreano.

A él se le atribuyen ataques utilizando SHARPEXT y dirigidos contra la política exterior, los operadores de energía nuclear y otros objetivos estratégicos en Estados Unidos, Europa y Corea del Sur.

Cómo protegerse de ataques sigilosos

Sin duda, la peligrosidad de esta amenaza es alta, pero la parte menos negativa es que, para que, para evitar caer en sus redes, es muy importante no cometer error. Por ejemplo, descargar un archivo adjunto malicioso, hacer clic en un enlace que nos llega a una página web maliciosa, o descargar o instalar programas, aplicaciones o extensiones que no son fiables.

Como siempre, utilizar la lógica y llevar a cabo buenas prácticas es fundamental, además de disponer de medidas de seguridad, como un buen antivirus, y mantener todos los sistemas actualizados.

En caso de no tomar medidas, el uso de SHARPEXT puede conllevar graves consecuencias ya que recopila gran cantidad de información de los correos electrónicos.

Los actores de amenazas de Corea del Norte pueden usar SHARPEXT para recopilar una gran cantidad de información.

 

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre