Threat Database Malware SHARPEXT ਬ੍ਰਾਊਜ਼ਰ ਐਕਸਟੈਂਸ਼ਨ

SHARPEXT ਬ੍ਰਾਊਜ਼ਰ ਐਕਸਟੈਂਸ਼ਨ

ਸਾਈਬਰ ਅਪਰਾਧੀ ਆਪਣੇ ਪੀੜਤਾਂ ਦੀਆਂ ਈਮੇਲਾਂ ਨੂੰ ਇਕੱਠਾ ਕਰਨ ਲਈ SHARPEXT ਨਾਮ ਦੇ ਇੱਕ ਖਰਾਬ ਬ੍ਰਾਊਜ਼ਰ ਐਕਸਟੈਂਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੇ ਹਨ। ਇਹ ਕਾਰਵਾਈ ਦਿਲਚਸਪੀ ਵਾਲੇ ਵਿਅਕਤੀਆਂ ਦੇ ਵਿਰੁੱਧ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਸ਼ਾਨਾ ਹੈ। ਹੋਰ ਖਰਾਬ ਐਕਸਟੈਂਸ਼ਨਾਂ ਦੇ ਉਲਟ, SHARPEXT ਦਾ ਉਦੇਸ਼ ਉਪਭੋਗਤਾ ਨਾਮ ਅਤੇ ਪਾਸਵਰਡ ਪ੍ਰਾਪਤ ਕਰਨਾ ਨਹੀਂ ਹੈ। ਇਸਦੀ ਬਜਾਏ, ਜੇਕਰ ਡਿਵਾਈਸ 'ਤੇ ਪੂਰੀ ਤਰ੍ਹਾਂ ਸਥਾਪਿਤ ਕੀਤਾ ਗਿਆ ਹੈ, ਤਾਂ ਧਮਕੀ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਟੀਚੇ ਦੇ ਵੈਬਮੇਲ ਖਾਤੇ ਤੋਂ ਡੇਟਾ ਦਾ ਨਿਰੀਖਣ ਕਰ ਸਕਦੀ ਹੈ ਅਤੇ ਇਸਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ। ਐਕਸਟੈਂਸ਼ਨ ਜੀਮੇਲ ਅਤੇ ਏਓਐਲ ਦੋਵਾਂ ਤੋਂ ਡੇਟਾ ਐਕਸਟਰੈਕਟ ਕਰ ਸਕਦੀ ਹੈ।

ਖੋਜਕਰਤਾਵਾਂ ਜਿਨ੍ਹਾਂ ਨੇ ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਬਾਰੇ ਵੇਰਵਿਆਂ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ, ਇਸ ਦਾ ਕਾਰਨ ਇੱਕ ਉੱਤਰੀ ਕੋਰੀਆਈ ਧਮਕੀ ਅਭਿਨੇਤਾ ਨੂੰ ਦਿੰਦੇ ਹਨ ਜਿਸ ਨੂੰ ਉਹ ਸ਼ਾਰਪ ਟੰਗ ਵਜੋਂ ਟਰੈਕ ਕਰਦੇ ਹਨ। ਉਨ੍ਹਾਂ ਦੀ ਰਿਪੋਰਟ ਦੇ ਅਨੁਸਾਰ, ਸਮੂਹ ਦੀਆਂ ਕੁਝ ਗਤੀਵਿਧੀਆਂ ਜਨਤਕ ਤੌਰ 'ਤੇ ਜਾਣੇ ਜਾਂਦੇ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਸਮੂਹ ਕਿਮਸੁਕੀ ਨਾਲ ਓਵਰਲੈਪ ਹੁੰਦੀਆਂ ਹਨ। ਹੁਣ ਤੱਕ, ਇਹ ਪੁਸ਼ਟੀ ਕੀਤੀ ਗਈ ਸੀ ਕਿ SharpTongue ਆਮ ਤੌਰ 'ਤੇ ਅਮਰੀਕਾ, ਯੂਰਪੀ ਸੰਘ ਅਤੇ ਦੱਖਣੀ ਕੋਰੀਆ ਦੇ ਸੰਗਠਨਾਂ ਅਤੇ ਵਿਅਕਤੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਹੈ। ਚੁਣੇ ਗਏ ਪੀੜਤ ਆਮ ਤੌਰ 'ਤੇ ਉੱਤਰੀ ਕੋਰੀਆ ਦੇ ਰਣਨੀਤਕ ਹਿੱਤਾਂ ਦੇ ਮਾਮਲਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ, ਜਿਵੇਂ ਕਿ ਪ੍ਰਮਾਣੂ ਗਤੀਵਿਧੀਆਂ, ਹਥਿਆਰ ਪ੍ਰਣਾਲੀਆਂ ਅਤੇ ਹੋਰ ਬਹੁਤ ਕੁਝ।

SHARPEXT ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ

ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ SHARPEXT ਮਾਲਵੇਅਰ ਨੂੰ ਸਤੰਬਰ 2021 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਸਮੂਹ ਦੇ ਧਮਕੀ ਭਰੇ ਹਥਿਆਰਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਗਿਆ ਸੀ। ਧਮਕੀ ਦੇ ਸ਼ੁਰੂਆਤੀ ਸੰਸਕਰਣ ਸਿਰਫ਼ Google Chrome ਬ੍ਰਾਊਜ਼ਰਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਦੇ ਸਮਰੱਥ ਸਨ, ਪਰ ਨਵੀਨਤਮ SHARPEXT 3.0 ਨਮੂਨੇ ਆਪਣੇ ਆਪ ਨੂੰ ਐਜ ਅਤੇ ਵ੍ਹੇਲ ਬ੍ਰਾਊਜ਼ਰਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰ ਸਕਦੇ ਹਨ ਨਾਲ ਨਾਲ ਵ੍ਹੇਲ ਇੱਕ ਕ੍ਰੋਮੀਅਮ-ਆਧਾਰਿਤ ਬ੍ਰਾਊਜ਼ਰ ਹੈ ਜੋ ਦੱਖਣੀ ਕੋਰੀਆ ਦੀ ਕੰਪਨੀ ਨੇਵਰ ਦੁਆਰਾ ਵਿਕਸਤ ਕੀਤਾ ਗਿਆ ਹੈ ਅਤੇ ਜ਼ਿਆਦਾਤਰ ਦੱਖਣੀ ਕੋਰੀਆ ਵਿੱਚ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।

SHARPEXT ਧਮਕੀ ਪਹਿਲਾਂ ਤੋਂ ਹੀ ਉਲੰਘੀਆਂ ਡਿਵਾਈਸਾਂ 'ਤੇ ਤੈਨਾਤ ਕੀਤੀ ਗਈ ਹੈ। ਇਸ ਤੋਂ ਪਹਿਲਾਂ ਕਿ ਇਸਨੂੰ ਕਿਰਿਆਸ਼ੀਲ ਕੀਤਾ ਜਾ ਸਕੇ, ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਨੂੰ ਸੰਕਰਮਿਤ ਸਿਸਟਮ ਤੋਂ ਕੁਝ ਲੋੜੀਂਦੀਆਂ ਫਾਈਲਾਂ ਨੂੰ ਹੱਥੀਂ ਕੱਢਣਾ ਚਾਹੀਦਾ ਹੈ। ਬਾਅਦ ਵਿੱਚ, SHARPEXT ਨੂੰ ਇੱਕ ਕਸਟਮ-ਬਣਾਈ VBS ਸਕ੍ਰਿਪਟ ਦੁਆਰਾ ਹੱਥੀਂ ਸਥਾਪਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਮਾਲਵੇਅਰ ਨੂੰ ਬ੍ਰਾਊਜ਼ਰ ਦੀਆਂ 'ਪ੍ਰੇਫਰੈਂਸ' ਅਤੇ 'ਸੁਰੱਖਿਅਤ ਤਰਜੀਹਾਂ' ਫਾਈਲਾਂ ਨੂੰ ਹਮਲੇ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਸਰਵਰ ਤੋਂ ਮੁੜ ਪ੍ਰਾਪਤ ਕੀਤੀਆਂ ਫਾਈਲਾਂ ਨਾਲ ਬਦਲਣ ਦੀ ਲੋੜ ਹੈ। ਜੇਕਰ ਸਫਲ ਹੁੰਦਾ ਹੈ, ਤਾਂ ਬ੍ਰਾਊਜ਼ਰ ' %APPDATA%\Roaming\AF ' ਫੋਲਡਰ ਤੋਂ ਮਾਲਵੇਅਰ ਨੂੰ ਆਪਣੇ ਆਪ ਲੋਡ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧੇਗਾ।

ਧਮਕੀ ਦਾ ਵਿਕਾਸ

ਪਹਿਲਾਂ ਦੇ SHARPEXT ਸੰਸਕਰਣਾਂ ਨੇ ਅੰਦਰੂਨੀ ਤੌਰ 'ਤੇ ਆਪਣੀ ਪ੍ਰਾਇਮਰੀ ਕਾਰਜਕੁਸ਼ਲਤਾ ਕੀਤੀ ਸੀ। ਹਾਲਾਂਕਿ, ਧਮਕੀ ਦੇ ਬਾਅਦ ਵਿੱਚ ਦੁਹਰਾਓ ਨੇ ਦੇਖਿਆ ਹੈ ਕਿ ਜ਼ਿਆਦਾਤਰ ਜ਼ਰੂਰੀ ਕੋਡ C2 ਸਰਵਰ 'ਤੇ ਸਟੋਰ ਕੀਤੇ ਜਾ ਰਹੇ ਹਨ। ਇਸ ਤਬਦੀਲੀ ਨੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਲਾਕਾਰਾਂ ਨੂੰ ਦੋ ਮੁੱਖ ਲਾਭ ਪ੍ਰਦਾਨ ਕੀਤੇ ਹਨ - ਉਹ ਹੁਣ ਨਵੇਂ ਕੋਡ ਨੂੰ ਪਹਿਲਾਂ ਉਲੰਘਣਾ ਕੀਤੇ ਡਿਵਾਈਸ 'ਤੇ ਡਿਲੀਵਰ ਕੀਤੇ ਬਿਨਾਂ ਐਕਸਟੈਂਸ਼ਨ ਕੋਡ ਨੂੰ ਗਤੀਸ਼ੀਲ ਰੂਪ ਨਾਲ ਅਪਡੇਟ ਕਰ ਸਕਦੇ ਹਨ, ਜਦੋਂ ਕਿ ਉਸੇ ਸਮੇਂ ਧਮਕੀ ਦੇ ਅੰਦਰ ਮੌਜੂਦ ਸਮਝੌਤਾ ਕੋਡ ਨੂੰ ਘਟਾ ਸਕਦੇ ਹਨ। ਨਤੀਜੇ ਵਜੋਂ, ਐਂਟੀ-ਮਾਲਵੇਅਰ ਹੱਲਾਂ ਦੁਆਰਾ SHARPEXT ਦਾ ਪਤਾ ਲਗਾਉਣਾ ਬਹੁਤ ਮੁਸ਼ਕਲ ਹੋ ਗਿਆ ਹੈ। ਖੋਜ ਪਹਿਲਾਂ ਹੀ ਇਸ ਤੱਥ ਦੇ ਕਾਰਨ ਚੁਣੌਤੀਪੂਰਨ ਸੀ ਕਿ ਧਮਕੀ ਇੱਕ ਉਪਭੋਗਤਾ ਦੇ ਲੌਗ-ਇਨ ਸੈਸ਼ਨ ਦੇ ਅੰਦਰ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦੀ ਹੈ, ਪੀੜਤ ਦੇ ਈਮੇਲ ਪ੍ਰਦਾਤਾ ਤੋਂ ਘੁਸਪੈਠ ਨੂੰ ਲੁਕਾਉਂਦੀ ਹੈ।

ਪ੍ਰਚਲਿਤ

ਸਭ ਤੋਂ ਵੱਧ ਦੇਖੇ ਗਏ

ਲੋਡ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ...