Foto: (reprodução/internet) As contas do Gmail estão sob ataque de uma extensão de navegador maliciosa espalhada por e-mails de phishing direcionados ao Google Chrome, Microsoft Edge e outros navegadores baseados no Chromium.
Uma vez instalada em seu navegador, esta extensão maliciosa é capaz de roubar o conteúdo de suas mensagens do Gmail e até mesmo infectar os melhores telefones Android com malware, mas mais sobre isso mais tarde.
Conforme relatado por BleepingComputer, a campanha em si foi detectada pelo Escritório Federal Alemão para a Proteção da Constituição e pelo Serviço Nacional de Inteligência da Coréia do Sul, que emitiram uma declaração conjunta alertando outros sobre isso.
Os cibercriminosos por trás da campanha vêm da Coreia do Norte e o grupo de ameaças Kimsuky (também conhecido como Thallium, Velvet Chollima) tem um histórico de uso de spear phishing para espionagem cibernética em ataques direcionados a diplomatas, jornalistas, agências governamentais, políticos e professores universitários.
No entanto, embora a campanha tenha começado na Coreia do Sul, ela agora se expandiu para os EUA e a Europa.
Mesmo se você não tiver um trabalho de alto perfil, você pode acabar instalando acidentalmente esta extensão maliciosa e ter sua conta do Gmail comprometida, e é por isso que todos nós precisamos permanecer vigilantes online.
Espalhe por e-mails de phishing
O ataque começa com um e-mail de phishing pedindo às vítimas em potencial que instalem uma extensão do Chrome, embora também possa ser instalado no Microsoft Edge, Brave e outros navegadores baseados no Chromium se o usuário morder a isca.
A extensão é chamada de ‘AF’ e, ao contrário das extensões normais, não pode ser encontrada na seção Mais ferramentas do Chrome em extensões.
Em vez disso, você precisa digitar manualmente “chrome(or edge/brave)://extensions” na barra de endereços do navegador para encontrá-lo.
Uma vez instalado, porém, ele é ativado automaticamente e começa a interceptar/roubar o conteúdo dos e-mails da sua conta do Gmail.
Isso é feito abusando da API do Devtools em seu navegador e usando-a para enviar todos esses dados roubados de volta para um servidor controlado pelos hackers.
Primeiro seu Gmail, depois seu smartphone
Se ter suas mensagens do Gmail lidas por hackers não fosse ruim o suficiente, o grupo de hackers Kimsuky também tem seu próprio malware para Android conhecido como FastViewer, Fastfire ou Fastspy DEX.
Depois que sua conta do Gmail está nas mãos desses hackers, eles usam o recurso de sincronização web-to-phone do Google Play para instalar aplicativos de seu computador em seu smartphone para infectar os telefones das vítimas com o malware.
O malware FastViewer é um trojan de acesso remoto (RAT) que permite que os hackers soltem, criem, excluam ou roubem arquivos, bem como recuperem seus contatos, façam chamadas, enviem mensagens de texto, liguem sua câmera, registrem suas teclas digitadas e muito mais.
Basta dizer que esse malware é incrivelmente perigoso e pode ser usado para chantagem ou até mesmo para roubar sua identidade.
