SHARPEXT-browserextensie

Cybercriminelen gebruiken een beschadigde browserextensie genaamd SHARPEXT om de e-mails van hun slachtoffers te verzamelen. De operatie is zeer gericht tegen personen van belang. In tegenstelling tot andere corrupte extensies, is SHARPEXT niet bedoeld om gebruikersnamen en wachtwoorden te verkrijgen. In plaats daarvan kan de dreiging, als deze volledig op het apparaat is gevestigd, gegevens rechtstreeks inspecteren en exfiltreren van de webmailaccount van het doelwit terwijl deze wordt gebruikt. De extensie kan gegevens extraheren uit zowel Gmail als AOL.

De onderzoekers die details over de aanvalscampagne onthulden, schrijven het toe aan een Noord-Koreaanse dreigingsactor die ze volgen als SharpTongue. Volgens hun rapport overlappen bepaalde activiteiten van de groep met de algemeen bekende cybercriminaliteitsgroep Kimsuky. Tot nu toe werd bevestigd dat SharpTongue zich vaak richt op organisaties en individuen uit de VS, de EU en Zuid-Korea. De gekozen slachtoffers zijn doorgaans betrokken bij zaken die van strategisch belang zijn voor Noord-Korea, zoals nucleaire activiteiten, wapensystemen en meer.

Analyse van SHARPEXT

De SHARPEXT-malware zou al in september 2021 aan het dreigende arsenaal van de groep zijn toegevoegd. De eerste versies van de dreiging konden alleen Google Chrome-browsers infecteren, maar de nieuwste SHARPEXT 3.0-samples kunnen zich in de Edge- en Whale-browsers nestelen als goed. Whale is een op Chromium gebaseerde browser ontwikkeld door het Zuid-Koreaanse bedrijf Naver en vooral gebruikt in Zuid-Korea.

De SHARPEXT-dreiging wordt ingezet op reeds geschonden apparaten. Voordat het kan worden geactiveerd, moeten de dreigingactoren handmatig bepaalde vereiste bestanden uit het geïnfecteerde systeem exfiltreren. Daarna wordt SHARPEXT handmatig geïnstalleerd via een op maat gemaakt VBS-script. De malware moet de bestanden 'Voorkeuren' en 'Beveiligde voorkeuren' van de browser vervangen door bestanden die zijn opgehaald van de Command-and-Control-server (C2, C&C) van de aanval. Als dit lukt, gaat de browser verder met het automatisch laden van de malware uit de map ' %APPDATA%\Roaming\AF '.

Evolutie van de dreiging

Eerdere SHARPEXT-versies hadden hun primaire functionaliteit intern. Bij latere herhalingen van de dreiging is echter het grootste deel van de benodigde code op de C2-server opgeslagen. Deze wijziging heeft de dreigingsactoren twee belangrijke voordelen opgeleverd: ze kunnen nu de extensiecode dynamisch bijwerken zonder eerst de nieuwe code aan het geschonden apparaat te hoeven leveren, terwijl ze tegelijkertijd de gecompromitteerde code in de dreiging zelf verminderen. Als gevolg hiervan is de detectie van SHARPEXT door anti-malwareoplossingen veel moeilijker geworden. Detectie was al een uitdaging dankzij het feit dat de dreiging informatie verzamelt binnen de ingelogde sessie van een gebruiker en de inbraak verbergt voor de e-mailprovider van het slachtoffer.