SHARPEXT nettleserutvidelse

Nettkriminelle bruker en ødelagt nettleserutvidelse kalt SHARPEXT for å samle inn e-postene til ofrene sine. Operasjonen er sterkt rettet mot enkeltpersoner av interesse. I motsetning til andre ødelagte utvidelser, har ikke SHARPEXT som mål å skaffe brukernavn og passord. I stedet, hvis den er fullt etablert på enheten, kan trusselen direkte inspisere og eksfiltrere data fra målets nettpostkonto mens den brukes. Utvidelsen kan trekke ut data fra både Gmail og AOL.

Forskerne som avslørte detaljer om angrepskampanjen tilskriver den en nordkoreansk trusselaktør de sporer som SharpTongue. I følge rapporten deres overlapper visse aktiviteter i gruppen med den offentlig kjente nettkriminalitetsgruppen Kimsuky. Så langt er det bekreftet at SharpTongue ofte retter seg mot organisasjoner og enkeltpersoner fra USA, EU og Sør-Korea. De utvalgte ofrene er vanligvis involvert i saker av strategisk interesse for Nord-Korea, som kjernefysiske aktiviteter, våpensystemer og mer.

Analyse av SHARPEXT

SHARPEXT malware antas å ha blitt lagt til gruppens truende arsenal allerede i september 2021. De første versjonene av trusselen var i stand til å infisere bare Google Chrome-nettlesere, men de siste SHARPEXT 3.0-prøvene kan grave seg inn i Edge- og Whale-nettlesere som vi vil. Whale er en krombasert nettleser utviklet av det sørkoreanske selskapet Naver og brukes mest i Sør-Korea.

SHARPEXT-trusselen er distribuert på enheter som allerede er brutt. Før den kan aktiveres, må trusselaktørene manuelt eksfiltrere visse nødvendige filer fra det infiserte systemet. Etterpå installeres SHARPEXT manuelt via et spesiallaget VBS-skript. Skadevaren må erstatte nettleserens "Preferences" og "Secure Preferences" filer med de som er hentet fra angrepets Command-and-Control-server (C2, C&C). Hvis det lykkes, vil nettleseren fortsette å automatisk laste inn skadelig programvare fra mappen ' %APPDATA%\Roaming\AF '.

Utviklingen av trusselen

Tidligere SHARPEXT-versjoner hadde sin primære funksjonalitet internt. Senere iterasjoner av trusselen har imidlertid sett at det meste av den nødvendige koden er lagret på C2-serveren. Denne endringen har gitt trusselaktørene to hovedfordeler – de kan nå dynamisk oppdatere utvidelseskoden uten å måtte levere den nye koden til den brutte enheten først, samtidig som de reduserer den kompromitterte koden som finnes i selve trusselen. Som et resultat har det blitt mye vanskeligere å oppdage SHARPEXT ved hjelp av anti-malware-løsninger. Deteksjon var allerede utfordrende takket være det faktum at trusselen samler inn informasjon i en brukers påloggede økt, og skjuler inntrengningen fra offerets e-postleverandør.