SHARPEXT pārlūkprogrammas paplašinājums

Kibernoziedznieki izmanto bojātu pārlūkprogrammas paplašinājumu SHARPEXT, lai savāktu savu upuru e-pastus. Operācija ir ļoti mērķēta pret interesējošām personām. Atšķirībā no citiem bojātiem paplašinājumiem, SHARPEXT mērķis nav iegūt lietotājvārdus un paroles. Tā vietā, ja ierīcē ir pilnībā konstatēts, apdraudējums var tieši pārbaudīt un izfiltrēt datus no mērķa tīmekļa pasta konta, kamēr tas tiek izmantots. Paplašinājums var iegūt datus gan no Gmail, gan AOL.

Pētnieki, kas atklāja sīkāku informāciju par uzbrukuma kampaņu, to attiecina uz Ziemeļkorejas draudu dalībnieku, kuru viņi izseko kā SharpTongue. Saskaņā ar viņu ziņojumu atsevišķas grupas darbības pārklājas ar publiski zināmo kibernoziegumu grupu Kimsuky. Līdz šim ir apstiprināts, ka SharpTongue parasti ir vērsta uz organizācijām un personām no ASV, ES un Dienvidkorejas. Izraudzītie upuri parasti ir saistīti ar Ziemeļkoreju stratēģiski interesējošām lietām, piemēram, kodolaktivitātēm, ieroču sistēmām un citiem.

SHARPEXT analīze

Tiek uzskatīts, ka SHARPEXT ļaunprogrammatūra tika pievienota grupas draudu arsenālam jau 2021. gada septembrī. Sākotnējās draudu versijas varēja inficēt tikai Google Chrome pārlūkprogrammas, taču jaunākie SHARPEXT 3.0 paraugi var iekļūt pārlūkprogrammās Edge un Whale. labi. Whale ir pārlūkprogramma, kuras pamatā ir Chromium, ko izstrādājis Dienvidkorejas uzņēmums Naver un ko galvenokārt izmanto Dienvidkorejā.

SHARPEXT draudi tiek izvietoti ierīcēs, kas jau ir bojātas. Lai to varētu aktivizēt, apdraudējuma dalībniekiem ir manuāli jāizfiltrē noteikti nepieciešamie faili no inficētās sistēmas. Pēc tam SHARPEXT tiek manuāli instalēts, izmantojot pielāgotu VBS skriptu. Ļaunprātīgajai programmatūrai ir jāaizstāj pārlūkprogrammas Preferences un Drošo preferenču faili ar tiem, kas izgūti no uzbrukuma Command-and-Control (C2, C&C) servera. Ja tas izdosies, pārlūkprogramma automātiski ielādēs ļaunprātīgo programmatūru no mapes %APPDATA%\Roaming\AF .

Draudu evolūcija

Iepriekšējās SHARPEXT versijās galvenā funkcionalitāte bija iekšēji. Tomēr vēlākos draudu atkārtojumos lielākā daļa nepieciešamā koda tika saglabāta C2 serverī. Šīs izmaiņas ir nodrošinājušas apdraudējuma dalībniekiem divas galvenās priekšrocības — viņi tagad var dinamiski atjaunināt paplašinājuma kodu, vispirms nepiegādājot jauno kodu uzlauztajā ierīcē, vienlaikus samazinot apdraudētā koda daudzumu. Tā rezultātā SHARPEXT noteikšana, izmantojot pretļaunatūras risinājumus, ir kļuvusi daudz grūtāka. Atklāšana jau bija sarežģīta, pateicoties tam, ka draudi apkopo informāciju lietotāja pieteikšanās sesijā, slēpjot ielaušanos no upura e-pasta pakalpojumu sniedzēja.