Threat Database Malware SHARPEXT browserudvidelse

SHARPEXT browserudvidelse

Cyberkriminelle bruger en beskadiget browserudvidelse ved navn SHARPEXT til at indsamle e-mails fra deres ofre. Operationen er meget målrettet mod personer af interesse. I modsætning til andre beskadigede udvidelser, sigter SHARPEXT ikke efter at få brugernavne og adgangskoder. Hvis truslen i stedet er fuldt etableret på enheden, kan den direkte inspicere og eksfiltrere data fra målets webmail-konto, mens den bruges. Udvidelsen kan udtrække data fra både Gmail og AOL.

Forskerne, der afslørede detaljer om angrebskampagnen, tilskriver den en nordkoreansk trusselsaktør, de sporer som SharpTongue. Ifølge deres rapport overlapper visse aktiviteter i gruppen med den offentligt kendte cyberkriminalitetsgruppe Kimsuky. Indtil videre er det blevet bekræftet, at SharpTongue almindeligvis retter sig mod organisationer og enkeltpersoner fra USA, EU og Sydkorea. De udvalgte ofre er typisk involveret i spørgsmål af strategisk interesse for Nordkorea, såsom nukleare aktiviteter, våbensystemer med mere.

Analyse af SHARPEXT

SHARPEXT-malwaren menes at være blevet føjet til gruppens truende arsenal allerede i september 2021. De første versioner af truslen var kun i stand til at inficere Google Chrome-browsere, men de seneste SHARPEXT 3.0-prøver kan grave sig ind i Edge- og Whale-browsere som godt. Whale er en Chromium-baseret browser udviklet af det sydkoreanske firma Naver og mest brugt i Sydkorea.

SHARPEXT-truslen er implementeret på allerede brudte enheder. Før det kan aktiveres, skal trusselsaktørerne manuelt eksfiltrere visse nødvendige filer fra det inficerede system. Bagefter installeres SHARPEXT manuelt via et specialfremstillet VBS-script. Malwaren skal erstatte browserens 'Preferences' og 'Secure Preferences' filer med dem, der er hentet fra angrebets Command-and-Control-server (C2, C&C). Hvis det lykkes, vil browseren derefter fortsætte med automatisk at indlæse malwaren fra mappen ' %APPDATA%\Roaming\AF '.

Udviklingen af truslen

Tidligere SHARPEXT-versioner bar deres primære funktionalitet internt. Men senere gentagelser af truslen har set det meste af den nødvendige kode blive gemt på C2-serveren. Denne ændring har givet trusselsaktørerne to hovedfordele - de kan nu dynamisk opdatere udvidelseskoden uden at skulle levere den nye kode til den brudte enhed først, samtidig med at de reducerer den kompromitterede kode, der er til stede i selve truslen. Som et resultat er det blevet meget vanskeligere at finde SHARPEXT ved hjælp af anti-malware-løsninger. Detektion var allerede udfordrende takket være det faktum, at truslen indsamler oplysninger inden for en brugers loggede session og skjuler indtrængen fra offerets e-mail-udbyder.

Trending

Mest sete

Indlæser...