Autores: Nico Chiaravio y Gianluca Braga
Las noticias del hacker Recientemente publicó una historia que habla de un articulación comunicación entre el aparato de inteligencia alemán, la Oficina Federal para la Protección de la Constitución (BfV) y el Servicio de Inteligencia Nacional de Corea del Sur (NIS), advirtiendo a los lectores sobre las nuevas tácticas utilizadas por un actor de amenazas de Corea del Norte llamado Kimsuky.
Este actor, también conocido por Thalium y APT37, lleva en activo desde 2012 y ha realizado varias campañas utilizando diversas técnicas, desde ataques de abrevadero para lanzar campañas de phishing y malware dirigidas a diferentes plataformas, incluidos los navegadores basados en Android y Chromium. Estas técnicas permitieron al actor de amenazas acceder a datos financieros, personales y de clientes. Esta organización fue detectada apuntando a entidades coreanas y alemanas, y se cree que el objetivo principal es apuntar a empleados gubernamentales, militares, manufactureros, académicos y el grupo de expertos de diplomacia y seguridad global.
Los ataques de Kimsuky demuestran el nivel de coordinación y sofisticación que implica una cadena de varios pasos para lograr el objetivo final. La última campaña descrita utiliza diferentes métodos:
Método 1:
- Ataque de phishing de lanza: La campaña utiliza correos electrónicos muy específicos para comprometer a la víctima final o a alguien de su círculo y utilizarlos para realizar más ataques de phishing selectivo. Este paso tiene como objetivo engañar al usuario para que instale una extensión del navegador.
- Extensión de navegador malicioso: Tsu extensión apunta a navegadores basados en Chromium, y su propósito es robar el contenido de la cuenta de correo electrónico cuando la víctima inicia sesión en su Gmail. Para esto, utiliza la API de herramientas de desarrollo, que pasa por alto la configuración de seguridad como 2FA.
Método 2:
- El primer paso es similar al ejemplo anterior y requiere que el atacante obtenga las credenciales del usuario.
- El atacante instala una aplicación maliciosa en un dispositivo Android aprovechando la función de sincronización de juegos y pruebas internas de Google. Luego suben una aplicación maliciosa a Google Play Console que se sincronizará automáticamente con el dispositivo de la víctima.
Ambos métodos se muestran en las Figuras 1 y 2 a continuación.
Es importante resaltar que las aplicaciones utilizadas en esta campaña no están disponibles en Google Play Store. Estas aplicaciones se distribuyen mediante una función llamada «prueba interna», que permite a los desarrolladores de aplicaciones distribuir sus aplicaciones a un pequeño grupo de usuarios marcados como «de confianza». El número de usuarios de confianza es muy limitado, lo que demuestra que esta campaña está muy dirigida.
Defensa contra amenazas móviles de Zimperium (MTD)) los clientes están protegidos contra estas amenazas. Nuestro motor dinámico de detección de amenazas en el dispositivo brinda protección contra aplicaciones maliciosas instaladas con estos métodos. Además, Zimperium MTD protege los navegadores, ya que las extensiones del navegador también se marcan como maliciosas para nuestros usuarios de Chrome OS. Por último, la detección de phishing mejorada de Zimperium puede evitar que los ataques de phishing tengan éxito, deteniendo toda la cadena de ataque desde el vector de ataque inicial.
COI:
| aplicaciones android | |
| 3458daa0dffdc3fbb5c931f25d7a1ec0 | Visor rápido |
| 89f97e1d68e274b03bc40f6e06e2ba9a | Espía rápido |
| 04bb7e1a0b4f830ed7d1377a394bc717 | Fuego rápido |
| C&C | |
| gonamodo[.]com | |
| siekis[.]com | |
| navernnail[.]com | |
| lowp.onlinewebshop[.]neto | |
| mc.pzs[.]kr | |
| 23[.]102[.]122[.]dieciséis |
Relacionado:
El W995 de Sony es su Walkman más avanzado – Reseña del Sony Ericsson W995
Amenazas a dispositivos móviles, ataques a la red y tendencias de malware móvil
Aprendizaje automático frente a firmas, ronda N: una vez más, Zimperium detecta malware que nadie más detecta
