רישיונות ריבוי מכשירים (הנחות נפח)
Threat Database Malware הרחבת דפדפן SHARPEXT

הרחבת דפדפן SHARPEXT

עד Mezo ב-Malware, Stealers
לתרגם ל:
עברית

פושעי סייבר משתמשים בתוסף דפדפן פגום בשם SHARPEXT כדי לאסוף את המיילים של הקורבנות שלהם. המבצע ממוקד מאוד נגד אנשים בעלי עניין. שלא כמו הרחבות פגומות אחרות, SHARPEXT לא שואפת להשיג שמות משתמש וסיסמאות. במקום זאת, אם הוא מבוסס במלואו במכשיר, האיום יכול לבדוק ישירות ולחלץ נתונים מחשבון הדואר האינטרנטי של היעד בזמן שהוא נמצא בשימוש. התוסף יכול לחלץ נתונים גם מג'ימייל וגם מ-AOL.

החוקרים שחשפו פרטים על מסע התקיפה מייחסים אותו לשחקן איום צפון קוריאני שהם עוקבים אחריהם בתור SharpTongue. על פי הדיווח שלהם, פעילויות מסוימות של הקבוצה חופפות לקבוצת פשעי הסייבר הידועה בציבור Kimsuky. עד כה, אושר ש-SharpTongue פונה בדרך כלל לארגונים ויחידים מארה"ב, האיחוד האירופי ודרום קוריאה. הקורבנות הנבחרים מעורבים בדרך כלל בעניינים בעלי עניין אסטרטגי לצפון קוריאה, כגון פעילות גרעינית, מערכות נשק ועוד.

ניתוח של SHARPEXT

על פי ההערכות, התוכנה הזדונית של SHARPEXT נוספה לארסנל המאיים של הקבוצה כבר בספטמבר 2021. הגרסאות הראשוניות של האיום היו מסוגלות להדביק רק דפדפני Google Chrome, אבל הדגימות האחרונות של SHARPEXT 3.0 יכולות לחפור את עצמן בדפדפני Edge ו-Whale כמו נו. לווייתן הוא דפדפן מבוסס כרום שפותח על ידי חברת Naver הדרום קוריאנית ונעשה בו שימוש בעיקר בתוך דרום קוריאה.

איום SHARPEXT נפרס על מכשירים שכבר פרצו. לפני שניתן יהיה להפעיל אותו, על שחקני האיום להוציא ידנית קבצים נדרשים מסוימים מהמערכת הנגועה. לאחר מכן, SHARPEXT מותקן באופן ידני באמצעות סקריפט VBS בהתאמה אישית. התוכנה הזדונית צריכה שהקבצים 'העדפות' ו'העדפות מאובטחות' של הדפדפן יוחלפו בקבצים שאוחזרו משרת ה-Command-and-Control (C2, C&C) של ההתקפה. אם זה מצליח, הדפדפן ימשיך לטעון אוטומטית את התוכנה הזדונית מהתיקייה ' %APPDATA%\Roaming\AF '.

אבולוציה של האיום

גרסאות SHARPEXT קודמות נשאו את הפונקציונליות העיקרית שלהן באופן פנימי. עם זאת, איטרציות מאוחרות יותר של האיום ראו את רוב הקוד הדרוש מאוחסן בשרת C2. השינוי הזה סיפק לשחקני האיום שני יתרונות עיקריים - כעת הם יכולים לעדכן באופן דינמי את קוד התוסף ללא צורך לספק תחילה את הקוד החדש למכשיר הפרוץ, ובמקביל להפחית את הקוד שנפרץ הקיים בתוך האיום עצמו. כתוצאה מכך, זיהוי SHARPEXT על ידי פתרונות נגד תוכנות זדוניות הפך לקשה הרבה יותר. הזיהוי כבר היה מאתגר הודות לעובדה שהאיום אוסף מידע בתוך סשן מחובר של משתמש, ומסתיר את החדירה מספק הדואר האלקטרוני של הקורבן.

מגמות

הכי נצפה

הונאת דוא"ל 'Gek Squad'

Phishing, Spam
15,356
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...