SHARPEXT ब्राउज़र एक्सटेंशन

साइबर अपराधी अपने पीड़ितों के ईमेल एकत्र करने के लिए SHARPEXT नामक एक दूषित ब्राउज़र एक्सटेंशन का उपयोग कर रहे हैं। ऑपरेशन अत्यधिक रुचि के व्यक्तियों के खिलाफ लक्षित है। अन्य दूषित एक्सटेंशन के विपरीत, SHARPEXT का उद्देश्य उपयोगकर्ता नाम और पासवर्ड प्राप्त करना नहीं है। इसके बजाय, अगर डिवाइस पर पूरी तरह से स्थापित हो जाता है, तो खतरा सीधे लक्ष्य के वेबमेल खाते से डेटा का निरीक्षण और बहिष्कृत कर सकता है, जबकि इसका उपयोग किया जा रहा है। एक्सटेंशन जीमेल और एओएल दोनों से डेटा निकाल सकता है।

जिन शोधकर्ताओं ने हमले के अभियान के बारे में विवरण का खुलासा किया, वे इसका श्रेय उत्तर कोरियाई खतरे वाले अभिनेता को देते हैं जिन्हें वे शार्पटॉन्ग के रूप में ट्रैक करते हैं। उनकी रिपोर्ट के अनुसार, समूह की कुछ गतिविधियाँ सार्वजनिक रूप से ज्ञात साइबर अपराध समूह किमसुकी के साथ ओवरलैप होती हैं। अब तक, यह पुष्टि की गई थी कि शार्पटॉन्ग आमतौर पर अमेरिका, यूरोपीय संघ और दक्षिण कोरिया के संगठनों और व्यक्तियों को लक्षित कर रहा है। चुने हुए पीड़ित आम तौर पर उत्तर कोरिया के सामरिक हित के मामलों से जुड़े होते हैं, जैसे कि परमाणु गतिविधियां, हथियार प्रणाली और बहुत कुछ।

SHARPEXT का विश्लेषण

माना जाता है कि SHARPEXT मैलवेयर को सितंबर 2021 की शुरुआत में समूह के खतरनाक शस्त्रागार में जोड़ा गया था। खतरे के शुरुआती संस्करण केवल Google क्रोम ब्राउज़र को संक्रमित करने में सक्षम थे, लेकिन नवीनतम SHARPEXT 3.0 नमूने एज और व्हेल ब्राउज़र में खुद को दफन कर सकते हैं। कुंआ। Whale एक क्रोमियम-आधारित ब्राउज़र है जिसे दक्षिण कोरियाई कंपनी Naver द्वारा विकसित किया गया है और ज्यादातर दक्षिण कोरिया के भीतर उपयोग किया जाता है।

SHARPEXT खतरे को पहले से ही भंग उपकरणों पर तैनात किया गया है। इससे पहले कि इसे सक्रिय किया जा सके, खतरे वाले अभिनेताओं को संक्रमित सिस्टम से कुछ आवश्यक फाइलों को मैन्युअल रूप से बाहर निकालना होगा। बाद में, SHARPEXT को कस्टम-निर्मित VBS स्क्रिप्ट के माध्यम से मैन्युअल रूप से स्थापित किया जाता है। मैलवेयर को ब्राउज़र की 'प्राथमिकताएँ' और 'सुरक्षित वरीयताएँ' फ़ाइलों को हमले के कमांड-एंड-कंट्रोल (C2, C & C) सर्वर से पुनर्प्राप्त फ़ाइलों के साथ बदलने की आवश्यकता होती है। सफल होने पर, ब्राउज़र ' %APPDATA%\Roaming\AF ' फ़ोल्डर से मैलवेयर को स्वचालित रूप से लोड करने के लिए आगे बढ़ेगा।

खतरे का विकास

पहले के SHARPEXT संस्करणों ने अपनी प्राथमिक कार्यक्षमता को आंतरिक रूप से किया था। हालाँकि, बाद में खतरे की पुनरावृत्तियों ने देखा है कि अधिकांश आवश्यक कोड C2 सर्वर पर संग्रहीत किए जा रहे हैं। इस परिवर्तन ने खतरे वाले अभिनेताओं को दो मुख्य लाभ प्रदान किए हैं - वे अब पहले उल्लंघन किए गए डिवाइस को नया कोड वितरित किए बिना एक्सटेंशन कोड को गतिशील रूप से अपडेट कर सकते हैं, जबकि साथ ही खतरे के भीतर मौजूद समझौता कोड को कम कर सकते हैं। परिणामस्वरूप, एंटी-मैलवेयर समाधानों द्वारा SHARPEXT का पता लगाना अधिक कठिन हो गया है। पता लगाना पहले से ही चुनौतीपूर्ण था, इस तथ्य के लिए धन्यवाद कि खतरा उपयोगकर्ता के लॉग-इन सत्र के भीतर जानकारी एकत्र करता है, पीड़ित के ईमेल प्रदाता से घुसपैठ को छुपाता है।