Threat Database Malware SHARPEXT naršyklės plėtinys

SHARPEXT naršyklės plėtinys

Kibernetiniai nusikaltėliai naudoja sugadintą naršyklės plėtinį pavadinimu SHARPEXT, kad rinktų savo aukų el. Operacija yra labai nukreipta prieš dominančius asmenis. Skirtingai nuo kitų sugadintų plėtinių, SHARPEXT nesiekia gauti vartotojo vardų ir slaptažodžių. Vietoj to, jei grėsmė visiškai nustatyta įrenginyje, ji gali tiesiogiai apžiūrėti ir išfiltruoti duomenis iš tikslinės žiniatinklio pašto paskyros, kol ji naudojama. Plėtinys gali išgauti duomenis tiek iš „Gmail“, tiek iš AOL.

Tyrėjai, kurie atskleidė informaciją apie atakos kampaniją, ją priskiria Šiaurės Korėjos grėsmės veikėjui, kurį seka kaip SharpTongue. Anot jų pranešimo, tam tikra grupuotės veikla sutampa su viešai žinoma kibernetinių nusikaltimų grupe „Kimsuky“. Iki šiol buvo patvirtinta, kad „SharpTongue“ dažniausiai taikosi į organizacijas ir asmenis iš JAV, ES ir Pietų Korėjos. Pasirinktos aukos paprastai yra susijusios su Šiaurės Korėjai strateginiais klausimais, tokiais kaip branduolinė veikla, ginklų sistemos ir kt.

SHARPEXT analizė

Manoma, kad SHARPEXT kenkėjiška programa buvo įtraukta į grėsmingą grupės arsenalą jau 2021 m. rugsėjo mėn. Pradinės grėsmės versijos galėjo užkrėsti tik „Google Chrome“ naršykles, tačiau naujausi SHARPEXT 3.0 pavyzdžiai gali įsiskverbti į „Edge“ ir „Whale“ naršykles. gerai. Banginis yra chromo pagrindu sukurta naršyklė, kurią sukūrė Pietų Korėjos įmonė Naver ir dažniausiai naudojama Pietų Korėjoje.

SHARPEXT grėsmė įdiegta jau pažeistuose įrenginiuose. Kad būtų galima jį suaktyvinti, grėsmės veikėjai turi rankiniu būdu išfiltruoti tam tikrus reikalingus failus iš užkrėstos sistemos. Vėliau SHARPEXT rankiniu būdu įdiegiamas naudojant pagal užsakymą sukurtą VBS scenarijų. Kenkėjiškos programinės įrangos naršyklės „Nuostatos“ ir „Saugios nuostatos“ failai turi būti pakeisti failais, gautais iš atakos komandų ir valdymo (C2, C&C) serverio. Jei pavyks, naršyklė automatiškai įkels kenkėjišką programą iš aplanko „ %APPDATA%\Roaming\AF “.

Grėsmės evoliucija

Ankstesnėse SHARPEXT versijose pagrindinės funkcijos buvo atliekamos viduje. Tačiau vėlesnės grėsmės kartojimo metu didžioji dalis reikalingo kodo buvo saugoma C2 serveryje. Šis pakeitimas suteikė grėsmės subjektams du pagrindinius privalumus – dabar jie gali dinamiškai atnaujinti plėtinio kodą, pirmiausia nepristatydami naujo kodo į pažeistą įrenginį, tuo pačiu sumažindami pačioje grėsmėje esantį pažeistą kodą. Dėl to SHARPEXT aptikimas naudojant antikenkėjiškų programų sprendimus tapo daug sunkesnis. Aptikimas jau buvo sudėtingas dėl to, kad grėsmė renka informaciją per vartotojo prisijungimo seansą ir slepia įsibrovimą nuo aukos el. pašto teikėjo.

Tendencijos

Labiausiai žiūrima

Įkeliama...