Extensia browser SHARPEXT

Infractorii cibernetici folosesc o extensie de browser coruptă numită SHARPEXT pentru a colecta e-mailurile victimelor lor. Operațiunea este foarte orientată împotriva persoanelor de interes. Spre deosebire de alte extensii corupte, SHARPEXT nu își propune să obțină nume de utilizator și parole. În schimb, dacă este complet stabilită pe dispozitiv, amenințarea poate inspecta și exfiltra în mod direct datele din contul de webmail al țintei în timp ce este utilizată. Extensia poate extrage date atât din Gmail, cât și din AOL.

Cercetătorii care au dezvăluit detalii despre campania de atac o atribuie unui actor de amenințare nord-coreean pe care îl urmăresc ca SharpTongue. Potrivit raportului lor, anumite activități ale grupului se suprapun cu grupul de criminalitate informatică Kimsuky, cunoscut public. Până acum, s-a confirmat că SharpTongue vizează în mod obișnuit organizații și persoane din SUA, UE și Coreea de Sud. Victimele alese sunt de obicei implicate în chestiuni de interes strategic pentru Coreea de Nord, cum ar fi activități nucleare, sisteme de arme și multe altele.

Analiza SHARPEXT

Se crede că malware-ul SHARPEXT a fost adăugat la arsenalul amenințător al grupului încă din septembrie 2021. Versiunile inițiale ale amenințării erau capabile să infecteze doar browserele Google Chrome, dar cele mai recente mostre SHARPEXT 3.0 se pot pătrunde în browserele Edge și Whale, deoarece bine. Whale este un browser bazat pe Chromium, dezvoltat de compania sud-coreeană Naver și folosit mai ales în Coreea de Sud.

Amenințarea SHARPEXT este implementată pe dispozitive deja încălcate. Înainte de a putea fi activat, actorii amenințărilor trebuie să exfiltreze manual anumite fișiere necesare din sistemul infectat. Ulterior, SHARPEXT este instalat manual printr-un script VBS personalizat. Malware-ul are nevoie ca fișierele „Preferințe” și „Preferințe securizate” ale browserului să fie înlocuite cu cele preluate de pe serverul Command-and-Control (C2, C&C) al atacului. Dacă are succes, browserul va continua să încarce automat malware-ul din folderul „ %APPDATA%\Roaming\AF ”.

Evoluția amenințării

Versiunile anterioare SHARPEXT își aveau funcționalitatea principală în interior. Cu toate acestea, iterațiile ulterioare ale amenințării au văzut majoritatea codului necesar stocat pe serverul C2. Această modificare le-a oferit actorilor amenințărilor două beneficii principale - aceștia pot acum să actualizeze în mod dinamic codul extensiei fără a fi necesar să livreze mai întâi noul cod dispozitivului încălcat, reducând în același timp codul compromis prezent în amenințarea în sine. Ca urmare, detectarea SHARPEXT prin soluții anti-malware a devenit mult mai dificilă. Detectarea a fost deja dificilă datorită faptului că amenințarea colectează informații în cadrul sesiunii de conectare a unui utilizator, ascunzând intruziunea furnizorului de e-mail al victimei.