پسوند مرورگر SHARPEXT

مجرمان سایبری از یک افزونه مرورگر خراب به نام SHARPEXT برای جمع آوری ایمیل های قربانیان خود استفاده می کنند. این عملیات به شدت علیه افراد مورد علاقه هدف قرار گرفته است. بر خلاف سایر برنامه های افزودنی خراب، هدف SHARPEXT به دست آوردن نام کاربری و رمز عبور نیست. در عوض، اگر تهدید به طور کامل بر روی دستگاه ایجاد شود، می‌تواند مستقیماً داده‌ها را از حساب وب‌میل هدف در حین استفاده بررسی کرده و از آن خارج کند. افزونه می تواند داده ها را از Gmail و AOL استخراج کند.

محققانی که جزئیات مربوط به کمپین حمله را فاش کردند، آن را به یک عامل تهدید کننده کره شمالی نسبت می‌دهند که آنها را SharpTonge دنبال می‌کنند. بر اساس گزارش آنها، برخی از فعالیت های این گروه با گروه جنایت سایبری شناخته شده کیمسوکی همپوشانی دارد. تاکنون تأیید شده است که SharpTonge معمولاً سازمان ها و افراد را از ایالات متحده، اتحادیه اروپا و کره جنوبی هدف قرار می دهد. قربانیان منتخب معمولاً با موضوعات مورد علاقه استراتژیک کره شمالی، مانند فعالیت های هسته ای، سیستم های تسلیحاتی و موارد دیگر درگیر هستند.

تجزیه و تحلیل SHARPEXT

گمان می‌رود بدافزار SHARPEXT در سپتامبر 2021 به زرادخانه تهدیدکننده این گروه اضافه شده باشد. نسخه‌های اولیه تهدید فقط می‌توانست مرورگرهای Google Chrome را آلوده کند، اما آخرین نمونه‌های SHARPEXT 3.0 می‌توانند خود را در مرورگرهای Edge و Whale حفر کنند. خوب. Whale یک مرورگر مبتنی بر کروم است که توسط شرکت کره جنوبی Naver توسعه یافته و بیشتر در کره جنوبی استفاده می شود.

تهدید SHARPEXT در دستگاه هایی که قبلاً نقض شده است مستقر می شود. قبل از اینکه فعال شود، عوامل تهدید باید به صورت دستی برخی از فایل های مورد نیاز را از سیستم آلوده استخراج کنند. پس از آن، SHARPEXT به صورت دستی از طریق یک اسکریپت VBS سفارشی نصب می شود. بدافزار باید فایل های «Preferences» و «Secure Preferences» مرورگر را با فایل های بازیابی شده از سرور Command-and-Control (C2, C&C) حمله جایگزین کند. در صورت موفقیت آمیز بودن، مرورگر اقدام به بارگیری خودکار بدافزار از پوشه ' %APPDATA%\Roaming\AF ' می کند.

تکامل تهدید

نسخه های قبلی SHARPEXT عملکرد اصلی خود را به صورت داخلی انجام می دادند. با این حال، تکرارهای بعدی تهدید، اکثر کدهای لازم را در سرور C2 ذخیره کرده است. این تغییر دو مزیت اصلی را برای عوامل تهدید به ارمغان آورده است - آنها اکنون می توانند به صورت پویا کد برنامه افزودنی را بدون اینکه ابتدا کد جدید را به دستگاه نقض شده تحویل دهند، به روز کنند، در حالی که در عین حال کد به خطر افتاده موجود در خود تهدید را کاهش می دهند. در نتیجه، تشخیص SHARPEXT توسط راه حل های ضد بدافزار بسیار دشوارتر شده است. به لطف این واقعیت که تهدید اطلاعات را در جلسه ورود کاربر جمع آوری می کند و نفوذ را از ارائه دهنده ایمیل قربانی پنهان می کند، شناسایی از قبل چالش برانگیز بود.