SHARPEXT böngészőbővítmény

A kiberbűnözők a SHARPEXT nevű sérült böngészőbővítményt használják áldozataik e-mailjeinek összegyűjtésére. A művelet erősen célzott az érdeklődő személyek ellen. Más sérült bővítményekkel ellentétben a SHARPEXT nem törekszik felhasználónevek és jelszavak beszerzésére. Ehelyett, ha teljesen beépült az eszközön, a fenyegetés közvetlenül megtekintheti és kiszűrheti az adatokat a célpont webmail fiókjából, miközben azt használat közben használják. A bővítmény a Gmailből és az AOL-ból is képes adatokat kinyerni.

A kutatók, akik felfedték a támadási kampány részleteit, egy észak-koreai fenyegetést okozó szereplőnek tulajdonítják, amelyet SharpTongue-ként követnek nyomon. Beszámolójuk szerint a csoport egyes tevékenységei átfedésben vannak a nyilvánosan ismert Kimsuky kiberbűnözői csoporttal. Eddig megerősítést nyert, hogy a SharpTongue általában az Egyesült Államokból, az EU-ból és Dél-Koreából származó szervezeteket és magánszemélyeket célozza meg. A kiválasztott áldozatok jellemzően Észak-Korea stratégiai jelentőségű ügyeihez kapcsolódnak, például nukleáris tevékenységekhez, fegyverrendszerekhez és egyebekhez.

A SHARPEXT elemzése

A SHARPEXT rosszindulatú program vélhetően már 2021 szeptemberében bekerült a csoport fenyegető arzenáljába. A fenyegetés kezdeti verziói csak a Google Chrome böngészőket voltak képesek megfertőzni, de a legújabb SHARPEXT 3.0 minták befúrhatják magukat az Edge és a Whale böngészőkbe. jól. A bálna egy Chromium-alapú böngésző, amelyet a dél-koreai Naver cég fejlesztett ki, és többnyire Dél-Koreában használják.

A SHARPEXT fenyegetést a már feltört eszközökön telepítik. Az aktiválás előtt a fenyegetés szereplőinek manuálisan kell kiszűrniük bizonyos szükséges fájlokat a fertőzött rendszerből. Ezt követően a SHARPEXT manuálisan telepíthető egy egyedi VBS-szkript segítségével. A rosszindulatú programnak a böngésző „Preferences” és „Secure Preferences” fájljait le kell cserélni a támadás Command-and-Control (C2, C&C) szerveréről letöltött fájlokra. Ha sikeres, a böngésző automatikusan betölti a kártevőt a „ %APPDATA%\Roaming\AF ” mappából.

A fenyegetés evolúciója

A korábbi SHARPEXT-verziók elsődleges funkciójukat belsőleg hordozták. A fenyegetés későbbi iterációi során azonban a szükséges kód nagy része a C2 szerveren került tárolásra. Ez a változás két fő előnyhöz juttatta a fenyegetés szereplőit: mostantól dinamikusan frissíthetik a kiterjesztési kódot anélkül, hogy először a feltört eszközre kellene eljuttatniuk az új kódot, ugyanakkor csökkenthetik magában a fenyegetettségben lévő feltört kódot. Ennek eredményeként a SHARPEXT kártevőirtó megoldásokkal történő észlelése sokkal nehezebbé vált. Az észlelés már eleve kihívást jelentett annak köszönhetően, hogy a fenyegetés információkat gyűjt a felhasználó bejelentkezett munkamenetén belül, és elrejti a behatolást az áldozat e-mail szolgáltatója elől.