Rozšíření prohlížeče SHARPEXT

Kyberzločinci používají poškozené rozšíření prohlížeče s názvem SHARPEXT ke shromažďování e-mailů svých obětí. Operace je vysoce cílená proti zájmovým jednotlivcům. Na rozdíl od jiných poškozených rozšíření se SHARPEXT nesnaží získat uživatelská jména a hesla. Místo toho, pokud je plně zavedena na zařízení, může hrozba přímo kontrolovat a exfiltrovat data z účtu webové pošty cíle, když je používána. Rozšíření dokáže extrahovat data z Gmailu i AOL.

Vědci, kteří odhalili podrobnosti o útočné kampani, ji připisují severokorejskému aktérovi hrozby, kterého sledují jako SharpTongue. Podle jejich zprávy se některé aktivity skupiny překrývají s veřejně známou kyberzločineckou skupinou Kimsuky. Dosud bylo potvrzeno, že SharpTongue se běžně zaměřuje na organizace a jednotlivce z USA, EU a Jižní Koreje. Vybrané oběti se obvykle zabývají záležitostmi strategického zájmu Severní Koreje, jako jsou jaderné aktivity, zbraňové systémy a další.

Analýza SHARPEXT

Předpokládá se, že malware SHARPEXT byl přidán do hrozivého arzenálu skupiny již v září 2021. Počáteční verze hrozby byly schopny infikovat pouze prohlížeče Google Chrome, ale nejnovější vzorky SHARPEXT 3.0 se mohou zavrtat do prohlížečů Edge a Whale. studna. Whale je prohlížeč založený na Chromu vyvinutý jihokorejskou společností Naver a většinou používaný v Jižní Koreji.

Hrozba SHARPEXT je nasazena na již narušená zařízení. Před aktivací musí aktéři hrozby ručně exfiltrovat určité požadované soubory z infikovaného systému. Poté se SHARPEXT ručně nainstaluje pomocí vlastního skriptu VBS. Malware potřebuje, aby byly soubory „Preference“ a „Secure Preferences“ v prohlížeči nahrazeny soubory získanými ze serveru Command-and-Control (C2, C&C) útoku. Pokud bude úspěšný, prohlížeč poté automaticky načte malware ze složky ' %APPDATA%\Roaming\AF '.

Evoluce hrozby

Dřívější verze SHARPEXT nesly svou primární funkcionalitu interně. V pozdějších iteracích hrozby však byla většina potřebného kódu uložena na serveru C2. Tato změna poskytla aktérům hrozeb dvě hlavní výhody – nyní mohou dynamicky aktualizovat rozšiřující kód, aniž by museli nejprve doručit nový kód do narušeného zařízení, a zároveň snížit kompromitovaný kód přítomný v samotné hrozbě. V důsledku toho se detekce SHARPEXT pomocí antimalwarových řešení stala mnohem obtížnější. Detekce byla náročná již díky skutečnosti, že hrozba shromažďuje informace v rámci přihlášené relace uživatele a skrývá narušení před poskytovatelem e-mailu oběti.