Un gruppo di spionaggio informatico utilizza l'estensione Chrome per infettare le vittime

In quella che sembra essere la prima volta sulla scena dello spionaggio informatico, un gruppo di hacker sostenuto da uno stato-nazione ha ha utilizzato un'estensione di Google Chrome per infettare le vittime e rubare password e cookie dai loro browser.

Questa è la prima volta che un APT (Advanced Persistent Threat, un termine industriale per gruppi di hacking a livello nazionale) viene osservato (ab) utilizzando un Chrome estensione, anche se non è la prima volta che si utilizza un'estensione del browser, poiché Turla APT, con collegamenti in Russia, utilizzava in precedenza un componente aggiuntivo per Firefox in 2015 [1, 2].

Secondo a rapporto che sarà pubblicato più tardi oggi dal team ASERT di Netscout rivela i dettagli di una campagna di spear-phishing che sta spingendo un'estensione Chrome dannosa almeno da maggio 2018.

Gli hacker hanno utilizzato e-mail di spear phishing per attirare le vittime su siti Web copiati da organizzazioni accademiche legittime. Questi siti di phishing, ora inattivi, mostravano un documento PDF innocuo ma impedivano agli utenti di visualizzarlo, reindirizzandolo vittime alla pagina ufficiale del Chrome Web Store per installare un'estensione di Chrome (ora rimossa) denominata Auto Font Manager.

I ricercatori di Netscout affermano che l'estensione aveva la capacità di rubare sia i cookie che le password dei siti, ma hanno anche riscontrato l'inoltro di e-mail su alcuni account compromessi.

I ricercatori di Netscout hanno riferito a ZDNet che le campagne di spear-phishing che utilizzano questa estensione di Chrome hanno preso di mira il settore accademico, ma non hanno voluto ancora rivelare i nomi delle vittime.

"Abbiamo identificato tre università con sede negli Stati Uniti e un'istituzione no-profit con sede in Asia [che] siamo certi siano state prese di mira", ci hanno detto i ricercatori.

"Un gran numero di vittime, in diverse università, avevano competenze in ingegneria biomedica, forse suggerendo una motivazione per prendere di mira gli aggressori", hanno aggiunto i ricercatori separatamente, nel loro rapporto.

Ma esaminando questi recenti attacchi, i ricercatori hanno anche scoperto che anche la stessa infrastruttura che ospitava questi siti di phishing aveva subito attacchi informatici è stato precedentemente utilizzato in un'altra campagna di hacking che si basava sull'irruzione nelle reti delle università tramite connessioni desktop remote (RDP) connessioni.

Netscout ha dichiarato a ZDNet che "i due filoni separati di attività hanno infrastrutture condivise e vittime sovrapposte, ma non è chiaro quale sia venuto prima".

Gli investigatori hanno anche aggiunto che le persone dietro questa recente campagna, che Netscout ha chiamato Stolen Pencil, sono state molto negligenti quando si è trattato di nascondere le loro tracce. I ricercatori hanno affermato di aver trovato prove che suggeriscono che il gruppo potrebbe avere sede in Corea del Nord.

"Lo scarso OPSEC ha portato gli utenti a trovare browser web aperti in coreano, traduttori da inglese a coreano aperti e le tastiere sono passate alle impostazioni della lingua coreana", hanno detto i ricercatori.

Ma mentre i ricercatori di Netscout non volevano collegare questa campagna a uno specifico APT (Advanced Persistent Threat) nordcoreano, un termine industriale per gruppi di hacking a livello nazionale), diverse fonti del settore a cui ZDNet ha mostrato ieri gli hash dei file di estensione di Chrome ci hanno indicato un gruppo di spionaggio informatico conosciuto come Kimsuky (noto anche come Velvet Chollima).

Un Kaspersky Lab del 2013 rapporto ha presentato prove che collegano il gruppo al regime della Corea del Nord. Lo stesso rapporto dettagliava anche la propensione di Kimsuky a perseguire obiettivi accademici, gli stessi presi di mira con questa campagna più recente.

Per quanto riguarda ciò che gli hacker stavano cercando, i ricercatori di Netscout hanno detto a ZDNet di "non aver visto prove di furto di dati, ma come ogni intrusione, non possiamo escludere del tutto questa possibilità. Nessuno degli strumenti o dei comandi era specificamente orientato al furto di informazioni: erano focalizzati sul furto di credenziali e sul mantenimento dell'accesso."

Le università sono sempre state un obiettivo attraente per gli hacker degli stati-nazione, in particolare per coloro che cercano informazioni proprietarie o ricerche non rilasciate. Mentre è noto che sia gli hacker statali cinesi che quelli russi attaccano regolarmente il settore accademico, gli hacker iraniani sono stati i più attivi del gruppo.

All'inizio di quest'anno, a marzo, gli Stati Uniti hanno incriminato 10 iraniani per attacchi informatici contro 320 università in 22 paesi, 144 dei quali negli Stati Uniti. Alcuni dei documenti di ricerca rubati dagli hacker sono stati infine pubblicati online su portali a pagamento gestiti da alcuni di essi gli hacker incriminati, che, a quanto pare, hanno trovato un modo per generare profitti collaterali dalle loro attività di hacking quotidiane sponsorizzate dallo stato campagne. Le accuse non ha fermato gli hacker iraniani dai loro attacchi, però.

Maggiore copertura di sicurezza:

• La Repubblica Ceca accusa la Russia di molteplici attacchi hacker alla rete governativa
  
• La polizia ucraina arresta un hacker che ha infettato oltre 2.000 utenti con DarkComet RAT
• Una nuova campagna di spionaggio industriale sfrutta il malware basato su AutoCAD
• Il protocollo CoAP è il prossimo grande passo avanti per gli attacchi DDoS
• L'attacco ransomware di Atlanta ha colpito i sistemi "mission critical". CNET
• L'FBI smantella un gigantesco schema di frode pubblicitaria che opera su oltre un milione di IP
• Gli hacker stanno aprendo le porte SMB sui router in modo da poter infettare i PC con malware NSA
• I trojan bancari, non i ransomware, sono oggi la minaccia più grande TechRepublic