Extensió del navegador SHARPEXT

Els ciberdelinqüents utilitzen una extensió de navegador corrupta anomenada SHARPEXT per recollir els correus electrònics de les seves víctimes. L'operació està molt dirigida a persones d'interès. A diferència d'altres extensions danyades, SHARPEXT no té com a objectiu obtenir noms d'usuari i contrasenyes. En canvi, si està totalment establerta al dispositiu, l'amenaça pot inspeccionar i exfiltrar directament les dades del compte de correu web de l'objectiu mentre s'utilitza. L'extensió pot extreure dades tant de Gmail com d'AOL.

Els investigadors que van revelar detalls sobre la campanya d'atac l'atribueixen a un actor d'amenaça de Corea del Nord que rastregen com a SharpTongue. Segons el seu informe, certes activitats del grup es superposen amb el grup de ciberdelinqüència conegut públicament Kimsuky. Fins ara, s'ha confirmat que SharpTongue s'adreça habitualment a organitzacions i persones dels Estats Units, la UE i Corea del Sud. Les víctimes escollides solen estar involucrades en qüestions d'interès estratègic per a Corea del Nord, com ara activitats nuclears, sistemes d'armes i molt més.

Anàlisi de SHARPEXT

Es creu que el programari maliciós SHARPEXT s'ha afegit a l'arsenal amenaçador del grup des del setembre de 2021. Les versions inicials de l'amenaça només eren capaços d'infectar els navegadors de Google Chrome, però les últimes mostres de SHARPEXT 3.0 poden enterrar-se als navegadors Edge i Whale com bé. Whale és un navegador basat en Chromium desenvolupat per l'empresa sud-coreana Naver i utilitzat principalment a Corea del Sud.

L'amenaça SHARPEXT es desplega en dispositius que ja s'han trencat. Abans que es pugui activar, els actors de l'amenaça han d'exfiltrar manualment certs fitxers necessaris del sistema infectat. Després, SHARPEXT s'instal·la manualment mitjançant un script VBS fet a mida. El programari maliciós necessita que els fitxers "Preferències" i "Preferències segures" del navegador siguin substituïts per altres recuperats del servidor de comandament i control (C2, C&C) de l'atac. Si té èxit, el navegador procedirà a carregar automàticament el programari maliciós des de la carpeta " %APPDATA%\Roaming\AF ".

Evolució de l'amenaça

Les versions anteriors de SHARPEXT portaven la seva funcionalitat principal internament. Tanmateix, les iteracions posteriors de l'amenaça han vist que la major part del codi necessari s'emmagatzema al servidor C2. Aquest canvi ha proporcionat als actors de l'amenaça dos avantatges principals: ara poden actualitzar dinàmicament el codi d'extensió sense haver de lliurar primer el codi nou al dispositiu violat, alhora que redueixen el codi compromès present a l'amenaça mateixa. Com a resultat, la detecció de SHARPEXT per solucions anti-malware s'ha tornat molt més difícil. La detecció ja era un repte gràcies al fet que l'amenaça recopila informació dins de la sessió d'inici de sessió d'un usuari, ocultant la intrusió del proveïdor de correu electrònic de la víctima.