Estensione del browser SHARPEXT

I criminali informatici utilizzano un'estensione del browser danneggiata denominata SHARPEXT per raccogliere le e-mail delle loro vittime. L'operazione è altamente mirata contro individui di interesse. A differenza di altre estensioni danneggiate, SHARPEXT non mira a ottenere nomi utente e password. Invece, se completamente stabilita sul dispositivo, la minaccia può ispezionare ed esfiltrare direttamente i dati dall'account webmail del bersaglio mentre viene utilizzato. L'estensione può estrarre dati sia da Gmail che da AOL.

I ricercatori che hanno rivelato i dettagli sulla campagna di attacco la attribuiscono a un attore di minacce nordcoreano che tracciano come SharpTongue. Secondo il loro rapporto, alcune attività del gruppo si sovrappongono al gruppo di criminalità informatica noto pubblicamente Kimsuky. Finora, è stato confermato che SharpTongue prende comunemente di mira organizzazioni e individui provenienti da Stati Uniti, UE e Corea del Sud. Le vittime prescelte sono in genere coinvolte in questioni di interesse strategico per la Corea del Nord, come attività nucleari, sistemi d'arma e altro ancora.

Analisi di SHARPEXT

Si ritiene che il malware SHARPEXT sia stato aggiunto all'arsenale minaccioso del gruppo già nel settembre 2021. Le versioni iniziali della minaccia erano in grado di infettare solo i browser Google Chrome, ma gli ultimi campioni SHARPEXT 3.0 possono insinuarsi nei browser Edge e Whale come bene. Whale è un browser basato su Chromium sviluppato dalla società sudcoreana Naver e utilizzato principalmente in Corea del Sud.

La minaccia SHARPEXT viene implementata su dispositivi già violati. Prima che possa essere attivato, gli attori delle minacce devono esfiltrare manualmente alcuni file richiesti dal sistema infetto. Successivamente, SHARPEXT viene installato manualmente tramite uno script VBS personalizzato. Il malware deve sostituire i file "Preferenze" e "Preferenze di sicurezza" del browser con quelli recuperati dal server Command-and-Control (C2, C&C) dell'attacco. In caso di successo, il browser procederà quindi al caricamento automatico del malware dalla cartella ' %APPDATA%\Roaming\AF '.

Evoluzione della minaccia

Le versioni precedenti di SHARPEXT trasportavano internamente le loro funzionalità principali. Tuttavia, le successive iterazioni della minaccia hanno visto la maggior parte del codice necessario essere archiviato sul server C2. Questa modifica ha fornito agli attori delle minacce due vantaggi principali: ora possono aggiornare dinamicamente il codice dell'estensione senza dover prima fornire il nuovo codice al dispositivo violato, riducendo allo stesso tempo il codice compromesso presente all'interno della minaccia stessa. Di conseguenza, il rilevamento di SHARPEXT da parte di soluzioni anti-malware è diventato molto più difficile. Il rilevamento era già difficile grazie al fatto che la minaccia raccoglie informazioni all'interno della sessione di accesso di un utente, nascondendo l'intrusione dal provider di posta elettronica della vittima.