ملحق متصفح SHARPEXT

يستخدم مجرمو الإنترنت امتداد متصفح تالف يسمى SHARPEXT لجمع رسائل البريد الإلكتروني لضحاياهم. تستهدف العملية بشدة الأفراد المعنيين. على عكس الامتدادات التالفة الأخرى ، لا تهدف SHARPEXT إلى الحصول على أسماء المستخدمين وكلمات المرور. بدلاً من ذلك ، إذا تم إنشاء التهديد بشكل كامل على الجهاز ، فيمكن أن يقوم بفحص البيانات وتسريبها مباشرةً من حساب بريد الويب الخاص بالهدف أثناء استخدامه. يمكن للملحق استخراج البيانات من كل من Gmail و AOL.

الباحثون الذين كشفوا عن تفاصيل حول حملة الهجوم ينسبونها إلى ممثل تهديد كوري شمالي يتتبعونه باسم SharpTongue. وفقًا لتقريرهم ، تتداخل أنشطة معينة للمجموعة مع مجموعة الجرائم الإلكترونية المعروفة باسم Kimsuky. حتى الآن ، تم التأكيد على أن SharpTongue تستهدف بشكل عام المنظمات والأفراد من الولايات المتحدة والاتحاد الأوروبي وكوريا الجنوبية. وعادة ما يكون الضحايا المختارون متورطين في مسائل ذات أهمية استراتيجية لكوريا الشمالية ، مثل الأنشطة النووية وأنظمة الأسلحة وغير ذلك.

تحليل SHARPEXT

يُعتقد أن البرنامج الضار SHARPEXT قد تمت إضافته إلى ترسانة المجموعة المهددة في وقت مبكر من سبتمبر 2021. كانت الإصدارات الأولية من التهديد قادرة على إصابة متصفحات Google Chrome فقط ، ولكن أحدث عينات SHARPEXT 3.0 يمكن أن تخترق نفسها في متصفحات Edge و Whale مثل نحن سوف. Whale هو متصفح يستند إلى Chromium طورته شركة Naver الكورية الجنوبية ويستخدم في الغالب داخل كوريا الجنوبية.

تم نشر تهديد SHARPEXT على الأجهزة التي تم اختراقها بالفعل. قبل أن يتم تفعيله ، يجب على الجهات المهددة أن تقوم يدويًا بسحب بعض الملفات المطلوبة من النظام المصاب. بعد ذلك ، يتم تثبيت SHARPEXT يدويًا عبر برنامج نصي VBS مخصص. تحتاج البرامج الضارة إلى استبدال ملفات "التفضيلات" و "التفضيلات الآمنة" بالمتصفح بأخرى تم استردادها من خادم الأوامر والتحكم (C2 ، C&C) الخاص بالهجوم. إذا نجح ذلك ، فسيبدأ المتصفح بعد ذلك في تحميل البرامج الضارة تلقائيًا من المجلد " ٪ APPDATA٪ \ Roaming \ AF ".

تطور التهديد

حملت إصدارات SHARPEXT السابقة وظائفها الأساسية داخليًا. ومع ذلك ، فإن التكرارات اللاحقة للتهديد شهدت تخزين معظم التعليمات البرمجية الضرورية على خادم C2. قدم هذا التغيير للجهات الفاعلة في التهديد فائدتان رئيسيتان - يمكنهم الآن تحديث كود الامتداد ديناميكيًا دون الحاجة إلى تسليم الرمز الجديد إلى الجهاز الذي تم اختراقه أولاً ، مع تقليل الشفرة المخترقة الموجودة داخل التهديد نفسه في نفس الوقت. نتيجة لذلك ، أصبح اكتشاف SHARPEXT بواسطة حلول مكافحة البرامج الضارة أكثر صعوبة. كان الاكتشاف يمثل تحديًا بالفعل بفضل حقيقة أن التهديد يجمع المعلومات في جلسة تسجيل دخول المستخدم ، مما يخفي التطفل عن مزود البريد الإلكتروني للضحية.