Threat Database Malware SHARPEXT-selainlaajennus

SHARPEXT-selainlaajennus

Verkkorikolliset käyttävät vioittunutta SHARPEXT-selainlaajennusta kerätäkseen uhriensa sähköpostit. Operaatio on suunnattu voimakkaasti kiinnostuneita henkilöitä vastaan. Toisin kuin muut vioittuneet laajennukset, SHARPEXT ei pyri hankkimaan käyttäjätunnuksia ja salasanoja. Sen sijaan, jos uhka on täysin todettu laitteeseen, se voi suoraan tarkastaa ja suodattaa tietoja kohteen verkkosähköpostitilistä, kun sitä käytetään. Laajennus voi poimia tietoja sekä Gmailista että AOL:sta.

Hyökkäyskampanjan yksityiskohtia paljastaneet tutkijat pitävät sitä pohjoiskorealaisesta uhkatekijästä, jota he seurasivat nimellä SharpTongue. Heidän selvityksensä mukaan ryhmän tietyt toiminnot menevät päällekkäin yleisesti tunnetun kyberrikosryhmän Kimsukyn kanssa. Toistaiseksi on vahvistettu, että SharpTongue on yleisesti suunnattu organisaatioille ja henkilöille Yhdysvalloista, EU:sta ja Etelä-Koreasta. Valitut uhrit ovat tyypillisesti mukana Pohjois-Koreaa strategisesti kiinnostavissa asioissa, kuten ydintoiminnassa, asejärjestelmissä ja muissa.

SHARPEXTin analyysi

SHARPEXT-haittaohjelman uskotaan lisätyn ryhmän uhkausarsenaaliin jo syyskuussa 2021. Uhan alkuperäiset versiot kykenivät saastuttamaan vain Google Chrome -selaimia, mutta uusimmat SHARPEXT 3.0 -näytteet voivat tunkeutua Edge- ja Whale-selaimiin. hyvin. Whale on eteläkorealaisen Naverin kehittämä kromipohjainen selain, jota käytetään enimmäkseen Etelä-Koreassa.

SHARPEXT-uhka on otettu käyttöön jo rikottuihin laitteisiin. Ennen kuin se voidaan aktivoida, uhkatoimijoiden on suodatettava manuaalisesti tietyt vaaditut tiedostot tartunnan saaneesta järjestelmästä. Myöhemmin SHARPEXT asennetaan manuaalisesti räätälöidyn VBS-skriptin avulla. Haittaohjelma tarvitsee selaimen Preferences- ja Secure Preferences -tiedostot korvattavaksi tiedostoilla, jotka on haettu hyökkäyksen Command-and-Control (C2, C&C) -palvelimelta. Jos se onnistuu, selain lataa haittaohjelman automaattisesti kansiosta %APPDATA%\Roaming\AF .

Uhan evoluutio

Aiemmat SHARPEXT-versiot sisälsivät ensisijaiset toiminnallisuutensa. Uhan myöhemmissä iteraatioissa suurin osa tarvittavasta koodista on kuitenkin tallennettu C2-palvelimelle. Tämä muutos on tarjonnut uhkatoimijoille kaksi pääetua - he voivat nyt päivittää laajennuskoodin dynaamisesti ilman, että heidän tarvitsee toimittaa uutta koodia ensin rikotun laitteen laitteeseen, samalla kun he vähentävät itse uhan sisällä olevaa vaarantunutta koodia. Tämän seurauksena SHARPEXT:n havaitsemisesta haittaohjelmien torjuntaratkaisuilla on tullut paljon vaikeampaa. Havaitseminen oli jo haastavaa, koska uhka kerää tietoa käyttäjän kirjautuneen istunnon aikana piilottaen tunkeutumisen uhrin sähköpostin tarjoajalta.

Trendaavat

Eniten katsottu

Ladataan...