Gmail : Un nouveau malware permet de contourner les mots de passe et le système 2FA pour lire tous les courriels

En matière de protection, Gmail possède un système bien au point avec le renforcement des informations de connexion et l’activation de la vérification en deux étapes. Cependant, des experts en sécurité ont découvert des preuves de l’existence d’un groupe de hackers parrainé par un État et qui a trouvé un moyen de contourner ces protections.

 

Un groupe de hackers nord-coréens peut accéder à Gmail sans compromettre les identifiants de connexion.

Selon la société de cybersécurité Volexity, le groupe de hackers nord-coréens baptisé « Sharp Tongue », qui semble être lié au groupe de hackers Kimsuky, déploie un malware du nom de SHARPEXT qui n’a plus besoin de vos informations de connexion à Gmail.

Ce malware « inspecte et exfiltre directement les données » d’un compte Gmail lorsque la victime y navigue. Cette menace, qui évolue rapidement (Volexity indique qu’elle en est déjà à la version 3.0), peut voler les courriels des comptes Gmail et AOL et fonctionne sur trois navigateurs : Google Chrome, Microsoft Edge et Whale.

 

Selon la Cybersecurity and Infrastructure Security Agency (CISA, Agence américaine de cybersécurité et de sécurité des infrastructures), les hackers de Kimsuky sont « très probablement mandatés par le régime nord-coréen. »

La CISA rapporte que le groupe Kimsuky opère depuis 2012, et qu’il est « très probablement chargé par le régime nord-coréen d’une mission de collecte de renseignements à l’échelle mondiale. »

Alors que la CISA estime que le groupe Kimsuky cible le plus souvent des personnes et des organisations en Corée du Sud, au Japon et aux États-Unis, Volexity indique que le groupe SharpTongue a souvent été pris en train de cibler la Corée du Sud, les États-Unis et l’Europe. Le dénominateur commun entre ces deux groupes est que les victimes « travaillent souvent sur des sujets impliquant la Corée du Nord, les questions nucléaires, les systèmes d’armes et d’autres intérêts stratégiques pour la Corée du Nord. »

 

Quelle est la spécificité du malware SHARPEXT ?

Le malware SHARPEXT diffère des précédentes extensions de navigateur déployées par les groupes de hackers en ce sens qu’il ne tente pas d’obtenir les informations d’identification de connexion, mais les contourne et peut saisir les données des courriels au fur et à mesure que l’utilisateur les lit.

La bonne nouvelle est que votre système doit être compromis avant que ce malware puisse être déployé. Malheureusement, la compromission d’un système n’est pas aussi difficile qu’elle le devrait.

Une fois qu’un système a été compromis par phishing, un malware, des vulnérabilités non corrigées, ou autres, les hackers peuvent installer l’extension à l’aide d’un script VBS malveillant qui remplace les fichiers de préférences du système. Une fois que c’est fait et que l’extension fonctionne en arrière-plan, le malware est difficile à détecter. L’utilisateur se connecte à son compte Gmail à partir de son navigateur normal sur le système attendu.

 

Le malware SHARPEXT lit les courriels Gmail sans déclencher les protections de Google contre les utilisations inhabituelles.

Rien ne permet d’alerter Google et l’utilisateur qu’une personne s’est connectée à Gmail à partir d’un autre navigateur, d’un autre appareil ou d’un autre lieu. Contourner cette protection est crucial, car cela signifie que les hackers peuvent avoir accès à vos courriels pendant longtemps : ils pourront lire tous vos courriels reçus et envoyés comme s’ils étaient l’utilisateur lui-même.

Pour détecter et étudier une attaque SHARPEXT, Volexity recommande d’activer et d’analyser la journalisation de PowerShell ScriptBlock, car PowerShell joue un rôle clé dans la configuration et l’installation du malware. Vérifiez régulièrement les extensions installées, en particulier celles que vous ne reconnaissez pas ou qui ne sont pas disponibles dans le Chrome Web Store.

Cela étant, un utilisateur lambda ne devrait pas trop s’inquiéter, car les victimes de ce groupe de hackers seront spécifiquement ciblées. Bien entendu, si vous travaillez dans un domaine susceptible de les intéresser, vous êtes dans la ligne de mire.

 

Une évaluation de la menace SHARPEXT a été réalisée par un ancien analyste du renseignement militaire et policier.

Ian Thornton-Trump est directeur des systèmes d’information (CISO) chez Cyjax et spécialiste du renseignement sur les cybermenaces. Ancien analyste du renseignement criminel au sein de la Gendarmerie royale du Canada et ayant également servi dans la branche du renseignement militaire des Forces canadiennes, il est bien placé pour évaluer ce type de menace présumée alignée sur un État-nation.

« C’est intéressant pour moi pour plusieurs raisons. Tout d’abord, je pense que la Corée du Nord essaie d’être plus proactive et plus menaçante, car l’attention du monde est bien plus focalisée sur les ambitions géopolitiques de la Russie et de la Chine. La Corée du Nord ne reçoit plus l’attention qu’elle avait auparavant. La menace des armes nucléaires de la Corée du Nord, les essais de missiles et les cyberattaques ont été réduits à un peu plus qu’un bruit de fond, l’attention étant portée sur la pandémie, la guerre en Europe et le changement climatique mondial », explique Ian Thornton-Trump.

Tout en confirmant que les extensions de navigateur malveillantes ne sont pas une nouveauté dans le cadre des groupes de hackers liés à la Corée du Nord, Ian Thornton-Trump a avoué être quelque peu surpris que la menace ne soit pas axée sur les ransomwares ou les portefeuilles de cryptomonnaies. « La Corée du Nord reste un État paria à l’échelle internationale lorsqu’il s’agit d’accéder à des services financiers, et elle a survécu grâce à l’exploitation efficace des échanges et des portefeuilles de cryptomonnaies pour soutenir son économie », indique Ian Thornton-Trump.

 

Le ciblage direct du contenu de Gmail est probablement orienté vers l’espionnage.

En ce qui concerne SHARPEXT, Ian Thornton-Trump convient que le fait de cibler directement le contenu de Gmail affiché dans un navigateur internet est beaucoup plus orienté vers l’espionnage : « Cela pourrait être perçu comme un changement de tactique, mais les attaques par courriels ont un large impact et sont parfaites pour un mouvement latéral vers des applications tierces ainsi que pour accéder à des informations sensibles ».

Une fois l’hôte compromis, Ian Thornton-Trump explique qu’il serait intéressant de savoir si l’acteur de la menace est passé en mode d’écoute seulement via l’exfiltration ou a pivoté vers une exploitation active.

« On pourrait penser qu’à l’heure actuelle, les protections intégrées au système d’exploitation Microsoft, la détection et la réponse étendues (XDR) ainsi que la détection et la réponse des points de terminaison (EDR), ainsi que la protection contre les logiciels malveillants du navigateur dans la version Windows de Chrome, empêcheraient facilement ces attaques, notamment sur les postes de travail où l’on pourrait penser que les activités PowerShell sont rares pour la plupart des utilisateurs des organisations victimes du malware », conclut Ian Thornton-Trump.

 

Article traduit de Forbes US – Auteur : Davey Winder

 

<<< À lire également : Cybersécurité : Les six risques principaux auxquels les petites entreprises sont exposées >>>