Threat Database Malware Επέκταση προγράμματος περιήγησης SHARPEXT

Επέκταση προγράμματος περιήγησης SHARPEXT

Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν μια κατεστραμμένη επέκταση προγράμματος περιήγησης που ονομάζεται SHARPEXT για να συλλέγουν τα μηνύματα ηλεκτρονικού ταχυδρομείου των θυμάτων τους. Η επιχείρηση είναι ιδιαίτερα στοχευμένη κατά ατόμων που ενδιαφέρουν. Σε αντίθεση με άλλες κατεστραμμένες επεκτάσεις, το SHARPEXT δεν στοχεύει στη λήψη ονομάτων χρήστη και κωδικών πρόσβασης. Αντίθετα, εάν είναι πλήρως εγκατεστημένη στη συσκευή, η απειλή μπορεί να επιθεωρήσει απευθείας και να διεισδύσει δεδομένα από τον λογαριασμό webmail του στόχου ενώ χρησιμοποιείται. Η επέκταση μπορεί να εξάγει δεδομένα τόσο από το Gmail όσο και από την AOL.

Οι ερευνητές που αποκάλυψαν λεπτομέρειες σχετικά με την εκστρατεία επίθεσης την αποδίδουν σε έναν Βορειοκορεάτη παράγοντα απειλών που παρακολουθούν ως SharpTongue. Σύμφωνα με την έκθεσή τους, ορισμένες δραστηριότητες της ομάδας αλληλεπικαλύπτονται με τη δημόσια γνωστή ομάδα εγκλήματος στον κυβερνοχώρο Kimsuky. Μέχρι στιγμής, επιβεβαιώθηκε ότι το SharpTongue στοχεύει συνήθως οργανισμούς και άτομα από τις ΗΠΑ, την ΕΕ και τη Νότια Κορέα. Τα επιλεγμένα θύματα συνήθως εμπλέκονται με ζητήματα στρατηγικού ενδιαφέροντος για τη Βόρεια Κορέα, όπως πυρηνικές δραστηριότητες, οπλικά συστήματα και άλλα.

Ανάλυση SHARPEXT

Το κακόβουλο λογισμικό SHARPEXT πιστεύεται ότι προστέθηκε στο απειλητικό οπλοστάσιο της ομάδας ήδη από τον Σεπτέμβριο του 2021. Οι αρχικές εκδόσεις της απειλής μπορούσαν να μολύνουν μόνο τα προγράμματα περιήγησης Google Chrome, αλλά τα πιο πρόσφατα δείγματα SHARPEXT 3.0 μπορούν να εισχωρήσουν στα προγράμματα περιήγησης Edge και Whale ως Καλά. Το Whale είναι ένα πρόγραμμα περιήγησης με βάση το Chromium που αναπτύχθηκε από τη νοτιοκορεατική εταιρεία Naver και χρησιμοποιείται κυρίως στη Νότια Κορέα.

Η απειλή SHARPEXT αναπτύσσεται σε συσκευές που έχουν ήδη παραβιαστεί. Προτού μπορέσει να ενεργοποιηθεί, οι φορείς απειλής πρέπει να διεγείρουν με μη αυτόματο τρόπο ορισμένα απαιτούμενα αρχεία από το μολυσμένο σύστημα. Στη συνέχεια, το SHARPEXT εγκαθίσταται χειροκίνητα μέσω μιας προσαρμοσμένης δέσμης ενεργειών VBS. Το κακόβουλο λογισμικό χρειάζεται να αντικατασταθούν τα αρχεία «Προτιμήσεις» και «Ασφαλείς Προτιμήσεις» του προγράμματος περιήγησης με αυτά που έχουν ανακτηθεί από τον διακομιστή εντολών και ελέγχου (C2, C&C) της επίθεσης. Εάν είναι επιτυχής, το πρόγραμμα περιήγησης θα προχωρήσει στην αυτόματη φόρτωση του κακόβουλου λογισμικού από το φάκελο ' %APPDATA%\Roaming\AF '.

Εξέλιξη της Απειλής

Οι προηγούμενες εκδόσεις SHARPEXT έφεραν την κύρια λειτουργικότητά τους εσωτερικά. Ωστόσο, σε μεταγενέστερες επαναλήψεις της απειλής, ο περισσότερος απαραίτητος κώδικας αποθηκεύεται στον διακομιστή C2. Αυτή η αλλαγή προσέφερε στους φορείς απειλών δύο βασικά πλεονεκτήματα - μπορούν πλέον να ενημερώνουν δυναμικά τον κωδικό επέκτασης χωρίς να χρειάζεται να παραδώσουν πρώτα τον νέο κωδικό στη συσκευή που έχει παραβιαστεί, ενώ ταυτόχρονα μειώνει τον παραβιασμένο κώδικα που υπάρχει στην ίδια την απειλή. Ως αποτέλεσμα, ο εντοπισμός του SHARPEXT από λύσεις κατά του κακόβουλου λογισμικού έχει γίνει πολύ πιο δύσκολος. Η ανίχνευση ήταν ήδη δύσκολη χάρη στο γεγονός ότι η απειλή συλλέγει πληροφορίες μέσα στη συνεδρία σύνδεσης ενός χρήστη, κρύβοντας την εισβολή από τον πάροχο email του θύματος.

Τάσεις

Περισσότερες εμφανίσεις

Φόρτωση...