SHARPEXT 브라우저 확장

사이버 범죄자는 SHARPEXT라는 손상된 브라우저 확장을 사용하여 피해자의 이메일을 수집합니다. 이 작업은 관심 있는 개인을 대상으로 합니다. 다른 손상된 확장과 달리 SHARPEXT는 사용자 이름과 암호를 얻는 것을 목표로 하지 않습니다. 대신 장치에 완전히 설정되면 위협이 사용되는 동안 대상의 웹 메일 계정에서 데이터를 직접 검사하고 유출할 수 있습니다. 확장 프로그램은 Gmail과 AOL에서 데이터를 추출할 수 있습니다.

공격 캠페인에 대한 세부 정보를 공개한 연구원들은 그들이 SharpTongue로 추적하는 북한 위협 행위자 때문이라고 밝혔습니다. 그들의 보고서에 따르면 그룹의 특정 활동은 알려진 사이버 범죄 그룹 Kimsuky와 중복됩니다. 지금까지 SharpTongue는 일반적으로 미국, EU 및 한국의 조직 및 개인을 대상으로 하는 것으로 확인되었습니다. 선택된 희생자들은 일반적으로 핵 활동, 무기 시스템 등과 같은 북한의 전략적 관심 문제와 관련이 있습니다.

SHARPEXT 분석

SHARPEXT 악성코드는 빠르면 2021년 9월 그룹의 위협적인 무기고에 추가된 것으로 여겨집니다. 위협의 초기 버전은 Google Chrome 브라우저만 감염시킬 수 있었지만 최신 SHARPEXT 3.0 샘플은 다음과 같이 Edge 및 Whale 브라우저에 침투할 수 있습니다. 잘. Whale은 한국 기업인 Naver에서 개발한 Chromium 기반 브라우저로 주로 한국에서 사용됩니다.

SHARPEXT 위협은 이미 침해된 장치에 배포됩니다. 공격자가 활성화되기 전에 감염된 시스템에서 특정 필수 파일을 수동으로 추출해야 합니다. 그 후 SHARPEXT는 맞춤형 VBS 스크립트를 통해 수동으로 설치됩니다. 멀웨어는 브라우저의 '기본 설정' 및 '보안 기본 설정' 파일을 공격의 Command-and-Control(C2, C&C) 서버에서 가져온 파일로 교체해야 합니다. 성공하면 브라우저는 ' %APPDATA%\Roaming\AF ' 폴더에서 맬웨어를 자동으로 로드합니다.

위협의 진화

이전 SHARPEXT 버전은 기본 기능을 내부적으로 수행했습니다. 그러나 이후 위협 요소가 반복되면서 대부분의 필요한 코드가 C2 서버에 저장되었습니다. 이러한 변경은 위협 행위자에게 두 가지 주요 이점을 제공했습니다. 이제 새 코드를 침해된 장치에 먼저 전달할 필요 없이 확장 코드를 동적으로 업데이트하는 동시에 위협 자체 내에 존재하는 손상된 코드를 줄일 수 있습니다. 결과적으로 맬웨어 방지 솔루션에 의한 SHARPEXT 탐지가 훨씬 더 어려워졌습니다. 위협이 사용자의 로그인 세션 내에서 정보를 수집하고 피해자의 이메일 공급자로부터 침입을 은폐한다는 사실 덕분에 탐지가 이미 어려웠습니다.