Rozszerzenie przeglądarki SHARPEXT

Cyberprzestępcy używają uszkodzonego rozszerzenia przeglądarki o nazwie SHARPEXT do zbierania e-maili swoich ofiar. Operacja jest silnie skierowana przeciwko zainteresowanym osobom. W przeciwieństwie do innych uszkodzonych rozszerzeń, SHARPEXT nie ma na celu uzyskania nazw użytkowników i haseł. Zamiast tego, jeśli zostanie w pełni ustanowiona na urządzeniu, zagrożenie może bezpośrednio sprawdzać i eksfiltrować dane z konta poczty internetowej celu, gdy jest używane. Rozszerzenie może wyodrębniać dane zarówno z Gmaila, jak i AOL.

Badacze, którzy ujawnili szczegóły dotyczące kampanii ataku, przypisują ją północnokoreańskiemu cyberprzestępcy, którego śledzą jako SharpTongue. Według ich raportu niektóre działania grupy pokrywają się z publicznie znaną grupą cyberprzestępczą Kimsuky. Jak dotąd potwierdzono, że SharpTongue często atakuje organizacje i osoby z USA, UE i Korei Południowej. Wybrane ofiary są zazwyczaj zaangażowane w sprawy o strategicznym znaczeniu dla Korei Północnej, takie jak działania nuklearne, systemy uzbrojenia i inne.

Analiza SHARPEXT

Uważa się, że złośliwe oprogramowanie SHARPEXT zostało dodane do groźnego arsenału grupy już we wrześniu 2021 r. Początkowe wersje zagrożenia były w stanie infekować tylko przeglądarki Google Chrome, ale najnowsze próbki SHARPEXT 3.0 mogą zakopywać się w przeglądarkach Edge i Whale dobrze. Whale to przeglądarka oparta na Chromium, opracowana przez południowokoreańską firmę Naver i używana głównie w Korei Południowej.

Zagrożenie SHARPEXT jest wdrażane na już złamanych urządzeniach. Zanim będzie można ją aktywować, cyberprzestępcy muszą ręcznie wydobyć określone wymagane pliki z zainfekowanego systemu. Następnie SHARPEXT jest ręcznie instalowany za pomocą niestandardowego skryptu VBS. Szkodliwe oprogramowanie wymaga zastąpienia plików „Preferences” i „Secure Preferences” przeglądarki plikami pobranymi z serwera Command-and-Control (C2, C&C) ataku. Jeśli się powiedzie, przeglądarka automatycznie ładuje złośliwe oprogramowanie z folderu ' %APPDATA%\Roaming\AF '.

Ewolucja zagrożenia

Wcześniejsze wersje SHARPEXT posiadały swoją podstawową funkcjonalność wewnętrznie. Jednak w późniejszych iteracjach zagrożenia większość niezbędnego kodu była przechowywana na serwerze C2. Ta zmiana zapewniła cyberprzestępcom dwie główne korzyści — mogą teraz dynamicznie aktualizować kod rozszerzenia bez konieczności uprzedniego dostarczania nowego kodu na naruszone urządzenie, jednocześnie redukując zagrożony kod obecny w samym zagrożeniu. W rezultacie wykrywanie SHARPEXT przez rozwiązania antymalware stało się znacznie trudniejsze. Wykrywanie było już trudne, ponieważ zagrożenie zbiera informacje w trakcie sesji zalogowanego użytkownika, ukrywając wtargnięcie przed dostawcą poczty e-mail ofiary.