SHARPEXT brauseri laiendus

Küberkurjategijad kasutavad oma ohvrite meilide kogumiseks rikutud brauserilaiendit SHARPEXT. Operatsioon on väga suunatud huvipakkuvate isikute vastu. Erinevalt teistest rikutud laiendustest ei ole SHARPEXT eesmärk kasutajanimede ja paroolide hankimine. Selle asemel, kui oht on seadmes täielikult tuvastatud, võib selle kasutamise ajal otse sihtmärgi veebimeili konto andmeid kontrollida ja sealt välja filtreerida. Laiendus suudab andmeid hankida nii Gmailist kui ka AOL-ist.

Rünnakukampaania üksikasju avaldanud teadlased omistavad selle Põhja-Korea ohutegijale, keda nad jälgivad kui SharpTongue. Nende aruande kohaselt kattuvad rühmituse teatud tegevused avalikult tuntud küberkuritegude rühmitusega Kimsuky. Seni on kinnitust leidnud, et SharpTongue on tavaliselt suunatud USA, ELi ja Lõuna-Korea organisatsioonidele ja üksikisikutele. Valitud ohvrid on tavaliselt seotud Põhja-Koreale strateegilist huvi pakkuvate küsimustega, nagu tuumategevus, relvasüsteemid ja palju muud.

SHARPEXTi analüüs

Arvatakse, et SHARPEXT pahavara lisati grupi ohuarsenali juba 2021. aasta septembris. Ohu esialgsed versioonid suutsid nakatada ainult Google Chrome'i brausereid, kuid uusimad SHARPEXT 3.0 näidised võivad end tungida Edge'i ja Whale'i brauseritesse. hästi. Vaal on Chromiumil põhinev brauser, mille on välja töötanud Lõuna-Korea ettevõte Naver ja mida kasutatakse enamasti Lõuna-Koreas.

SHARPEXT-i oht on juurutatud juba rikutud seadmetele. Enne selle aktiveerimist peavad ohutegijad teatud nõutavad failid nakatunud süsteemist käsitsi välja filtreerima. Seejärel installitakse SHARPEXT käsitsi kohandatud VBS-i skripti kaudu. Pahavara vajab, et brauseri eelistuste ja turvaliste eelistuste failid tuleks asendada rünnaku käsu- ja juhtimisserverist (C2, C&C) hangitud failidega. Kui see õnnestub, laadib brauser automaatselt pahavara kaustast „ %APPDATA%\Roaming\AF ”.

Ohu areng

Varasemad SHARPEXTi versioonid kandsid oma peamist funktsiooni sisemiselt. Kuid ohu hilisemate iteratsioonide käigus on suurem osa vajalikust koodist salvestatud C2 serverisse. See muudatus on andnud ohus osalejatele kaks peamist eelist – nad saavad nüüd dünaamiliselt värskendada laienduse koodi, ilma et nad peaksid esmalt uut koodi rikutud seadmesse edastama, vähendades samal ajal ohus endas olevat ohustatud koodi. Seetõttu on SHARPEXTi tuvastamine pahavaravastaste lahendustega muutunud palju keerulisemaks. Tuvastamine oli juba keeruline tänu sellele, et oht kogub teavet kasutaja sisselogitud seansi jooksul, varjates sissetungi ohvri meiliteenuse pakkuja eest.