Si bien hay patrones en lo que a ciberataques se refiere, con técnicas ya establecidas como el phishing, siempre aparecen nuevas formas de difundirlo por los ordenadores de usuarios en todo el mundo, incluyendo los de España. Investigadores de ciberseguridad, según adelanta BleepingComputer, han descubierto una campaña de malware basada en una extensión de Google Chrome para robar cuentas de Gmail.
Aunque hablamos de Chrome, están afectados otros tantos navegadores basados en Chromium que son compatibles con esta extensión. La campaña ha sido detectadas por agencias de seguridad nacional de Alemania y de Corea del Sur. Ambas han emitido una declaración conjunta alertando de la misma.
El motivo de por qué estas dos agencias han tomado cartas en el asunto es debido a que los principales objetivos de esta campaña son políticos, diplomáticos y empleados gubernamentales, además de periodistas, profesores universitarios y diplomáticos. Y es que el objetivo es conseguir el contenido que ocultan estas cuentas de Gmail.
Nueva campaña de malware
La extensión en concreto se llama 'AF', y ha sido desarrollada por un usuario o grupo de usuarios llamado 'Kimsuky' o 'Thallium'. Se cree que reside en Corea del Norte, y su método de espionaje está pensado para atacar personajes de alto perfil, como los ya mencionados, en Corea del Sur. Se cree que ha ampliado su lista de objetivos a usuarios dentro de Europa y Estados Unidos.
AF se distribuye a través de phishing mediante un correo electrónico "urgente", pidiéndole al usuario que por cuestiones de ciberseguridad, instale la extensión en su dispositivo. El malware, una vez instalado, no es visible en la lista de complementos, pero sí en la de extensiones. Si la persona infectada entra a Gmail, la extensión extraerá toda la información que pueda de dicha cuenta.
Las agencias de seguridad especifican que Kimsuky podría ser un actor pagado por el estado norcoreano, y que tendría una estrecha relación con los servicios de espionaje cibernético e inteligencia de Corea del Norte. Dicho actor, conformado por un grupo de hackers, llevaría en activo más de una década. De hecho, ya fueron acusados de robar datos nucleares de Corea en 2015 y de atacar a diplomáticos surcoreanos en 2019.
¿Esto quiere decir que estamos fuera de peligro? Si no eres un usuario que entre dentro de los objetivos de Kimsuky, difícilmente recibirás la extensión en tu bandeja de correo electrónico. Sin embargo, si por el contrario tu perfil sí encaja, te recomendamos tener cuidado con lo que recibes en tu Gmail. Nunca descargues archivos o instales software proveniente de correos electrónicos si no estás absolutamente seguro de ello.