Une extension de navigateur malveillante pour Chrome et d’autres navigateurs basés sur Chromium capables de voler le contenu de votre compte de messagerie Gmail a été découverte par des chercheurs en sécurité.
La campagne de logiciels malveillants a été repérée par deux agences de sécurité nationale – l’Office fédéral allemand pour la protection de la Constitution et le Service national de renseignement de la République de Corée.
Ces deux agences ont publié une déclaration commune, mettant en garde contre la campagne, exhortant les gens à la vigilance, mais en particulier les diplomates, les journalistes, les professeurs d’université, les politiciens et les employés du gouvernement, qui seraient tous les principales cibles.
Livré par hameçonnage
AF est un module complémentaire de Google Chrome distribué par un acteur malveillant connu sous le nom de Kimsuky (ou Thallium). Cet acteur de la menace est basé en Corée du Nord, affirment les deux agences, et ciblerait des individus de haut niveau dans leurs programmes de cyberespionnage.
Alors qu’il se concentrait initialement sur des cibles sud-coréennes, Thallium a récemment élargi sa liste de cibles en Europe et aux États-Unis.
AF est livré à ses victimes via le phishing. Le groupe enverrait l’e-mail « urgent » habituel, demandant à la victime de télécharger le module complémentaire sur son terminal. (s’ouvre dans un nouvel onglet). S’il est installé, le logiciel malveillant n’apparaîtra pas dans la liste des modules complémentaires sur Chrome et ne sera visible que dans la liste des extensions. Une fois installé, il suffit d’une visite sur Gmail pour que le module complémentaire s’exécute et extraie toutes ses activités.
Kimsuky semble être un acteur parrainé par l’État axé sur le cyber-espionnage et la collecte de renseignements. Selon CISA, le groupe est actif depuis plus d’une décennie.
En 2015, il a été accusé d’avoir volé des données sensibles à Korea Hydro & Nuclear Power, et quatre ans plus tard, en 2019, il a été accusé de cibler des diplomates, des militaires et des responsables gouvernementaux sud-coréens à la retraite. Il y a deux ans, Kimsuky a été accusé de se cacher dans les réseaux internes appartenant à l’Institut coréen de recherche sur l’énergie atomique.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)