Threat Database Malware SHARPEXT Browser Extension

SHARPEXT Browser Extension

Os cibercriminosos estão usando uma extensão de navegador corrompida chamada SHARPEXT para coletar os e-mails de suas vítimas. A operação é altamente direcionada contra indivíduos de interesse. Ao contrário de outras extensões corrompidas, o SHARPEXT não visa obter nomes de usuário e senhas. Em vez disso, se totalmente estabelecida no dispositivo, a ameaça pode inspecionar e extrair dados diretamente da conta de webmail do alvo enquanto estiver sendo usada. A extensão pode extrair dados do Gmail e da AOL.

Os pesquisadores que revelaram detalhes sobre a campanha de ataque a atribuem a um agente de ameaças norte-coreano que eles rastreiam como SharpTongue. De acordo com o relatório, certas atividades do grupo se sobrepõem ao grupo de crimes cibernéticos publicamente conhecido Kimsuky. Até agora, foi confirmado que o SharpTongue geralmente tem como alvo organizações e indivíduos dos EUA, UE e Coréia do Sul. As vítimas escolhidas normalmente estão envolvidas com assuntos de interesse estratégico para a Coreia do Norte, como atividades nucleares, sistemas de armas e muito mais.

Análise do SHARPEXT

Acredita-se que o malware SHARPEXT tenha sido adicionado ao arsenal ameaçador do grupo em setembro de 2021. As versões iniciais da ameaça eram capazes de infectar apenas os navegadores Google Chrome, mas as amostras mais recentes do SHARPEXT 3.0 podem se infiltrar nos navegadores Edge e Whale como Nós vamos. Whale é um navegador baseado em Chromium desenvolvido pela empresa sul-coreana Naver e usado principalmente na Coreia do Sul.

A ameaça SHARPEXT é implantada em dispositivos já violados. Antes de poder ser ativado, os agentes de ameaças devem exfiltrar manualmente determinados arquivos necessários do sistema infectado. Depois, o SHARPEXT é instalado manualmente por meio de um script VBS personalizado. O malware precisa que os arquivos de 'Preferências' e 'Preferências seguras' do navegador sejam substituídos por arquivos recuperados do servidor de Comando e Controle (C2, C&C) do ataque. Se for bem-sucedido, o navegador prosseguirá para carregar automaticamente o malware da pasta ' %APPDATA%\Roaming\AF '.

A Evolução da Ameaça

Versões anteriores do SHARPEXT carregavam sua funcionalidade primária internamente. No entanto, as iterações posteriores da ameaça viram a maior parte do código necessário ser armazenado no servidor C2. Essa mudança forneceu aos agentes de ameaças dois benefícios principais - eles agora podem atualizar dinamicamente o código de extensão sem precisar entregar o novo código ao dispositivo violado primeiro, ao mesmo tempo em que reduz o código comprometido presente na própria ameaça. Como resultado, a detecção do SHARPEXT por soluções antimalware se tornou muito mais difícil. A detecção já era um desafio graças ao fato de que a ameaça coleta informações na sessão de login de um usuário, ocultando a invasão do provedor de e-mail da vítima.

Tendendo

Mais visto

Carregando...