Agencias alemanas y surcoreanas advierten sobre nuevos ciberataques

Las agencias gubernamentales de Alemania y Corea del Sur han alertado sobre ciberataques realizados por un actor de amenazas identificado como Kimsuky también conocido como “Cabeza de Dragón” que utiliza extensiones maliciosas para navegadores basados en Chromium para robar el contenido de los correos electrónicos de Gmail de los usuarios.

La advertencia conjunta proviene del servicio de inteligencia doméstico alemán, la Oficina Federal para la Protección de la Constitución (BfV), y el Servicio Nacional de Inteligencia de la República de Corea (NIS). Los ataques están diseñados para atacar a “expertos en la península coreana y temas relacionados con Corea del Norte” mediante campañas de phishing dirigidas, según señalaron las agencias.

Según las agencias, el grupo utiliza técnicas de phishing y malware para robar información confidencial y realizar actividades de espionaje. El objetivo de los ataques parece ser el robo de propiedad intelectual y la obtención de ventaja competitiva en el mercado.

Los expertos en seguridad han destacado que este tipo de ataques son cada vez más comunes y sofisticados, lo que hace necesario que las empresas tomen medidas preventivas para protegerse. Algunas de estas medidas incluyen la implementación de software de seguridad, la educación a los empleados sobre la prevención de ataques de phishing y la realización de auditorías de seguridad regulares. Los principales objetivos son entidades en Estados Unidos y Corea del Sur, especialmente individuos que trabajan dentro del gobierno, el ejército, la industria manufacturera, el ámbito académico y los grupos de expertos.

“Las actividades de este actor amenazante incluyen recopilar datos financieros, personales y de clientes específicamente del sector académico, manufacturero y seguridad nacional en Corea del Sur”

Mandiant Threat Intelligence Group.

Los ataques recientes orquestados por el grupo sugieren una expansión de su actividad cibernética para abarcar cepas maliciosas para Android como FastFire, FastSpy, FastViewer y RambleOn.

El uso de extensiones para navegadores con fines de espionaje cibernético no es nuevo para Kimsuky, que ha utilizado técnicas similares en campañas rastreadas como Stolen Pencil y SharpTongue. La operación SharpTongue también se superpone con el último esfuerzo en que este último también es capaz de robar el contenido del correo electrónico de una víctima usando el complemento malicioso, que, a su vez, aprovecha la API DevTools del navegador para realizar la función.

Pero en una escalada de los ataques móviles de Kimsuky, el actor amenazante ha sido observado iniciando sesión en las cuentas de Google de las víctimas usando credenciales ya obtenidas previamente mediante tácticas de phishing e instalando una aplicación maliciosa en los dispositivos vinculados a las cuentas.

“El atacante inicia sesión con la cuenta de Google del usuario en el PC, accede a Google Play Store y solicita la instalación de una aplicación maliciosa”, explicaron las agencias. “En este momento, el teléfono inteligente objetivo vinculado con la cuenta de Google se selecciona como el dispositivo para instalar la aplicación maliciosa”.

Se sospecha que las aplicaciones, que incorporan FastFire y FastViewer, se distribuyen utilizando una función de Google Play conocida como “pruebas internas” que permite a los desarrolladores externos distribuir sus aplicaciones a un “pequeño conjunto de probadores confiables”.

Referencias:

• https://thehackernews.com/2023/03/german-and-south-korean-agencies-warn.html
• https://www.bbc.com/news/technology-60707631
• https://www.malwarebytes.com/blog/news/2023/02/cisa-issues-alert-with-south-k