Sambungan Penyemak Imbas SHARPEXT

Penjenayah siber menggunakan sambungan pelayar rosak bernama SHARPEXT untuk mengumpul e-mel mangsa mereka. Operasi ini sangat disasarkan terhadap individu yang berkepentingan. Tidak seperti sambungan rosak lain, SHARPEXT tidak bertujuan untuk mendapatkan nama pengguna dan kata laluan. Sebaliknya, jika diwujudkan sepenuhnya pada peranti, ancaman itu boleh terus memeriksa dan mengeluarkan data daripada akaun mel web sasaran semasa ia digunakan. Sambungan boleh mengekstrak data daripada Gmail dan AOL.

Para penyelidik yang mendedahkan butiran tentang kempen serangan mengaitkannya dengan pelakon ancaman Korea Utara yang mereka jejaki sebagai SharpTongue. Menurut laporan mereka, aktiviti tertentu kumpulan itu bertindih dengan kumpulan jenayah siber Kimsuky yang diketahui umum. Setakat ini, telah disahkan bahawa SharpTongue lazimnya menyasarkan organisasi dan individu dari AS, EU dan Korea Selatan. Mangsa yang dipilih lazimnya terlibat dengan perkara yang mempunyai kepentingan strategik kepada Korea Utara, seperti aktiviti nuklear, sistem senjata dan banyak lagi.

Analisis SHARPEXT

Malware SHARPEXT dipercayai telah ditambahkan pada senjata mengancam kumpulan itu seawal September 2021. Versi awal ancaman itu hanya mampu menjangkiti penyemak imbas Google Chrome, tetapi sampel SHARPEXT 3.0 terbaharu boleh menjerumuskan diri ke dalam pelayar Edge dan Whale sebagai baiklah. Whale ialah penyemak imbas berasaskan Chromium yang dibangunkan oleh syarikat Korea Selatan Naver dan kebanyakannya digunakan di Korea Selatan.

Ancaman SHARPEXT digunakan pada peranti yang telah dilanggar. Sebelum ia boleh diaktifkan, pelaku ancaman mesti mengeluarkan fail tertentu yang diperlukan secara manual daripada sistem yang dijangkiti. Selepas itu, SHARPEXT dipasang secara manual melalui skrip VBS yang dibuat khas. Perisian hasad memerlukan fail 'Keutamaan' dan 'Keutamaan Selamat' penyemak imbas untuk digantikan dengan fail yang diambil daripada pelayan Perintah-dan-Kawalan (C2, C&C) serangan itu. Jika berjaya, penyemak imbas kemudiannya akan meneruskan untuk memuatkan perisian hasad secara automatik daripada folder ' %APPDATA%\Roaming\AF '.

Evolusi Ancaman

Versi SHARPEXT terdahulu membawa fungsi utama mereka secara dalaman. Walau bagaimanapun, lelaran kemudian ancaman telah melihat kebanyakan kod yang diperlukan disimpan pada pelayan C2. Perubahan ini telah memberikan dua faedah utama kepada pelaku ancaman - mereka kini boleh mengemas kini kod sambungan secara dinamik tanpa perlu menghantar kod baharu kepada peranti yang dilanggar terlebih dahulu, sambil pada masa yang sama mengurangkan kod terjejas yang terdapat dalam ancaman itu sendiri. Akibatnya, pengesanan SHARPEXT oleh penyelesaian anti-perisian hasad menjadi lebih sukar. Pengesanan sudah mencabar kerana ancaman mengumpul maklumat dalam sesi log masuk pengguna, menyembunyikan pencerobohan daripada pembekal e-mel mangsa.