Разширение за браузър SHARPEXT

До Mezo през Malware, Stealersг

Превод на:

Киберпрестъпниците използват повредено разширение на браузъра, наречено SHARPEXT, за да събират имейлите на своите жертви. Операцията е силно насочена срещу лица, представляващи интерес. За разлика от други повредени разширения, SHARPEXT няма за цел да получи потребителски имена и пароли. Вместо това, ако е напълно установена на устройството, заплахата може директно да инспектира и ексфилтрира данни от акаунта на уеб пощата на целта, докато се използва. Разширението може да извлича данни както от Gmail, така и от AOL.

Изследователите, които разкриха подробности за кампанията за атака, я приписват на севернокорейски заплаха, който те проследяват като SharpTongue. Според техния доклад някои дейности на групата се припокриват с публично известната група за киберпрестъпления Kimsuky. Досега беше потвърдено, че SharpTongue обикновено е насочен към организации и лица от САЩ, ЕС и Южна Корея. Избраните жертви обикновено се занимават с въпроси от стратегически интерес за Северна Корея, като ядрени дейности, оръжейни системи и други.

Анализ на SHARPEXT

Смята се, че злонамереният софтуер SHARPEXT е добавен към заплашителния арсенал на групата още през септември 2021 г. Първоначалните версии на заплахата бяха в състояние да заразят само браузърите Google Chrome, но най-новите образци на SHARPEXT 3.0 могат да проникнат в браузърите Edge и Whale като добре. Whale е базиран на Chromium браузър, разработен от южнокорейската компания Naver и използван най-вече в Южна Корея.

Заплахата SHARPEXT се внедрява на вече пробити устройства. Преди да може да бъде активиран, участниците в заплахата трябва ръчно да ексфилтрират определени необходими файлове от заразената система. След това SHARPEXT се инсталира ръчно чрез персонализиран VBS скрипт. Зловредният софтуер трябва файловете „Предпочитания“ и „Предпочитания за защита“ на браузъра да бъдат заменени с такива, извлечени от сървъра за командване и управление (C2, C&C) на атаката. Ако успее, браузърът ще продължи автоматично да зарежда зловредния софтуер от папката „ %APPDATA%\Roaming\AF “.

Еволюция на заплахата

По-ранните версии на SHARPEXT носеха основната си функционалност вътрешно. Въпреки това, по-късните повторения на заплахата са видели, че повечето от необходимия код се съхраняват на сървъра C2. Тази промяна предостави на участниците в заплахата две основни предимства - сега те могат динамично да актуализират кода на разширението, без да се налага първо да доставят новия код на нарушеното устройство, като в същото време намаляват компрометирания код, присъстващ в самата заплаха. В резултат откриването на SHARPEXT от анти-зловреден софтуер решения стана много по-трудно. Откриването вече беше предизвикателство благодарение на факта, че заплахата събира информация в рамките на сесията на потребителя, която е влязла в системата, скривайки проникването от доставчика на имейл на жертвата.