SHARPEXT proširenje preglednika

Kibernetički kriminalci koriste oštećeno proširenje preglednika pod nazivom SHARPEXT za prikupljanje e-pošte svojih žrtava. Operacija je vrlo ciljana protiv pojedinaca od interesa. Za razliku od drugih oštećenih proširenja, SHARPEXT nema za cilj dobivanje korisničkih imena i lozinki. Umjesto toga, ako je u potpunosti uspostavljena na uređaju, prijetnja može izravno pregledati i izlučiti podatke s ciljanog računa web pošte dok se koristi. Proširenje može izvući podatke iz Gmaila i AOL-a.

Istraživači koji su otkrili detalje o kampanji napada pripisuju ga sjevernokorejskom akteru prijetnje kojeg prate kao SharpTongue. Prema njihovom izvješću, određene aktivnosti skupine preklapaju se s javno poznatom kibernetičkom kriminalnom skupinom Kimsuky. Do sada je potvrđeno da SharpTongue obično cilja na organizacije i pojedince iz SAD-a, EU-a i Južne Koreje. Odabrane žrtve obično su uključene u stvari od strateškog interesa za Sjevernu Koreju, kao što su nuklearne aktivnosti, oružani sustavi i drugo.

Analiza SHARPEXT-a

Vjeruje se da je zlonamjerni softver SHARPEXT dodan prijetećem arsenalu grupe još u rujnu 2021. Početne verzije prijetnje mogle su zaraziti samo preglednike Google Chrome, no najnoviji uzorci SHARPEXT 3.0 mogu se ukopati u preglednike Edge i Whale kao dobro. Whale je preglednik temeljen na Chromiumu koji je razvila južnokorejska tvrtka Naver i uglavnom se koristi u Južnoj Koreji.

Prijetnja SHARPEXT postavljena je na već probijene uređaje. Prije nego što se može aktivirati, akteri prijetnje moraju ručno eksfiltrirati određene potrebne datoteke iz zaraženog sustava. Nakon toga, SHARPEXT se ručno instalira putem prilagođene VBS skripte. Zlonamjerni softver treba da se datoteke 'Preferences' i 'Secure Preferences' preglednika zamijene onima preuzetima s Command-and-Control (C2, C&C) poslužitelja napada. Ako bude uspješan, preglednik će nastaviti s automatskim učitavanjem zlonamjernog softvera iz mape " %APPDATA%\Roaming\AF ".

Evolucija prijetnje

Ranije verzije SHARPEXT-a svoju su primarnu funkcionalnost nosile interno. Međutim, kasnije iteracije prijetnje vidjele su da je većina potrebnog koda pohranjena na C2 poslužitelju. Ova je promjena akterima prijetnje pružila dvije glavne prednosti - sada mogu dinamički ažurirati kod proširenja bez potrebe da prvo isporuče novi kod na oštećeni uređaj, dok u isto vrijeme smanjuju kompromitirani kod prisutan u samoj prijetnji. Kao rezultat toga, otkrivanje SHARPEXT-a od strane anti-malware rješenja postalo je mnogo teže. Detekcija je već bila izazovna zahvaljujući činjenici da prijetnja prikuplja informacije unutar korisnikove prijavljene sesije, skrivajući upad od žrtvinog pružatelja usluga e-pošte.