SHARPEXT ব্রাউজার এক্সটেনশন
সাইবার অপরাধীরা তাদের ভুক্তভোগীদের ইমেল সংগ্রহ করতে SHARPEXT নামে একটি দূষিত ব্রাউজার এক্সটেনশন ব্যবহার করছে। অভিযানটি স্বার্থের ব্যক্তিদের বিরুদ্ধে অত্যন্ত লক্ষ্যবস্তু। অন্যান্য দূষিত এক্সটেনশন থেকে ভিন্ন, SHARPEXT ব্যবহারকারীর নাম এবং পাসওয়ার্ড প্রাপ্ত করার লক্ষ্য রাখে না। পরিবর্তে, যদি ডিভাইসে সম্পূর্ণরূপে প্রতিষ্ঠিত হয়, হুমকিটি সরাসরি পরিদর্শন করতে পারে এবং এটি ব্যবহার করার সময় লক্ষ্যের ওয়েবমেইল অ্যাকাউন্ট থেকে ডেটা বের করে দিতে পারে। এক্সটেনশনটি Gmail এবং AOL উভয় থেকে ডেটা বের করতে পারে।
যে গবেষকরা আক্রমণ অভিযানের বিবরণ প্রকাশ করেছেন তারা এটিকে উত্তর কোরিয়ার একজন হুমকি অভিনেতাকে দায়ী করেছেন তারা শার্পটং হিসাবে ট্র্যাক করেছেন। তাদের প্রতিবেদন অনুসারে, গ্রুপের কিছু কার্যক্রম সর্বজনীনভাবে পরিচিত সাইবার ক্রাইম গ্রুপ কিমসুকির সাথে ওভারল্যাপ করে। এখনও পর্যন্ত, এটি নিশ্চিত করা হয়েছে যে SharpTonge সাধারণত মার্কিন যুক্তরাষ্ট্র, ইইউ এবং দক্ষিণ কোরিয়ার সংস্থা এবং ব্যক্তিদের লক্ষ্য করে। নির্বাচিত ব্যক্তিরা সাধারণত উত্তর কোরিয়ার কৌশলগত স্বার্থের বিষয়গুলির সাথে জড়িত থাকে, যেমন পারমাণবিক কার্যকলাপ, অস্ত্র ব্যবস্থা এবং আরও অনেক কিছু।
SHARPEXT এর বিশ্লেষণ
SHARPEXT ম্যালওয়্যারটি 2021 সালের সেপ্টেম্বরের শুরুতে গ্রুপের ভয়ঙ্কর অস্ত্রাগারে যোগ করা হয়েছে বলে মনে করা হয়। হুমকির প্রাথমিক সংস্করণগুলি শুধুমাত্র Google Chrome ব্রাউজারগুলিকে সংক্রামিত করতে সক্ষম ছিল, কিন্তু সর্বশেষ SHARPEXT 3.0 নমুনাগুলি এজ এবং হোয়েল ব্রাউজারগুলিতে নিজেদেরকে ঢেকে দিতে পারে। আমরা হব. তিমি একটি ক্রোমিয়াম-ভিত্তিক ব্রাউজার যা দক্ষিণ কোরিয়ার কোম্পানি নেভার দ্বারা তৈরি করা হয়েছে এবং বেশিরভাগই দক্ষিণ কোরিয়ার মধ্যে ব্যবহৃত হয়।
SHARPEXT হুমকি ইতিমধ্যে লঙ্ঘিত ডিভাইসগুলিতে স্থাপন করা হয়েছে৷ এটি সক্রিয় করার আগে, হুমকি অভিনেতাদের অবশ্যই সংক্রামিত সিস্টেম থেকে নির্দিষ্ট প্রয়োজনীয় ফাইলগুলিকে ম্যানুয়ালি বের করে দিতে হবে। পরবর্তীতে, SHARPEXT একটি কাস্টম-মেড VBS স্ক্রিপ্টের মাধ্যমে ম্যানুয়ালি ইনস্টল করা হয়। আক্রমণের কমান্ড-এন্ড-কন্ট্রোল (C2, C&C) সার্ভার থেকে পুনরুদ্ধার করা ফাইলগুলির সাথে ব্রাউজারের 'পছন্দগুলি' এবং 'সুরক্ষিত পছন্দগুলি' ফাইলগুলির জন্য ম্যালওয়্যারগুলিকে প্রতিস্থাপন করতে হবে৷ সফল হলে, ব্রাউজারটি ' %APPDATA%\Roaming\AF ' ফোল্ডার থেকে স্বয়ংক্রিয়ভাবে ম্যালওয়্যার লোড করতে এগিয়ে যাবে।
হুমকির বিবর্তন
পূর্ববর্তী SHARPEXT সংস্করণগুলি অভ্যন্তরীণভাবে তাদের প্রাথমিক কার্যকারিতা বহন করত। যাইহোক, পরবর্তীতে হুমকির পুনরাবৃত্তিতে দেখা গেছে যে বেশিরভাগ প্রয়োজনীয় কোড C2 সার্ভারে সংরক্ষণ করা হচ্ছে। এই পরিবর্তনটি হুমকি অভিনেতাদের দুটি প্রধান সুবিধা প্রদান করেছে - তারা এখন লঙ্ঘিত ডিভাইসে নতুন কোড সরবরাহ না করেই এক্সটেনশন কোডটি গতিশীলভাবে আপডেট করতে পারে, একই সময়ে হুমকির মধ্যে উপস্থিত আপোষকৃত কোডটি হ্রাস করে। ফলস্বরূপ, অ্যান্টি-ম্যালওয়্যার সমাধান দ্বারা SHARPEXT সনাক্ত করা আরও কঠিন হয়ে উঠেছে। সনাক্তকরণ ইতিমধ্যেই চ্যালেঞ্জিং ছিল ধন্যবাদ যে হুমকি একজন ব্যবহারকারীর লগ-ইন সেশনের মধ্যে তথ্য সংগ্রহ করে, শিকারের ইমেল প্রদানকারীর কাছ থেকে অনুপ্রবেশ লুকিয়ে রাখে।
