Браузерное расширение SHARPEXT

Киберпреступники используют поврежденное расширение браузера SHARPEXT для сбора электронных писем своих жертв. Операция направлена против лиц, представляющих интерес. В отличие от других поврежденных расширений, SHARPEXT не стремится получить имена пользователей и пароли. Вместо этого, если угроза полностью установлена на устройстве, она может напрямую проверять и извлекать данные из учетной записи веб-почты цели во время ее использования. Расширение может извлекать данные как из Gmail, так и из AOL.

Исследователи, которые раскрыли подробности кампании атаки, приписывают ее северокорейскому злоумышленнику, которого они отслеживают как SharpTongue. Согласно их отчету, некоторые виды деятельности группы пересекаются с широко известной киберпреступной группировкой Kimsuky. На данный момент было подтверждено, что SharpTongue обычно нацелен на организации и отдельных лиц из США, ЕС и Южной Кореи. Выбранные жертвы обычно связаны с вопросами, представляющими стратегический интерес для Северной Кореи, такими как ядерная деятельность, системы вооружений и многое другое.

Анализ SHARPEXT

Считается, что вредоносное ПО SHARPEXT было добавлено в угрожающий арсенал группировки еще в сентябре 2021 года. Первоначальные версии угрозы были способны заражать только браузеры Google Chrome, но последние образцы SHARPEXT 3.0 могут внедряться в браузеры Edge и Whale как Что ж. Whale — это браузер на основе Chromium, разработанный южнокорейской компанией Naver и в основном используемый в Южной Корее.

Угроза SHARPEXT развертывается на уже взломанных устройствах. Прежде чем его можно будет активировать, злоумышленники должны вручную извлечь определенные необходимые файлы из зараженной системы. После этого SHARPEXT устанавливается вручную с помощью специального сценария VBS. Вредоносная программа требует, чтобы файлы «Настройки» и «Безопасные настройки» браузера были заменены файлами, полученными с сервера Command-and-Control (C2, C&C) атаки. В случае успеха браузер продолжит автоматическую загрузку вредоносного ПО из папки « %APPDATA%\Roaming\AF ».

Эволюция угрозы

Более ранние версии SHARPEXT выполняли свои основные функции внутри. Однако в более поздних версиях угрозы большая часть необходимого кода хранилась на сервере C2. Это изменение предоставило злоумышленникам два основных преимущества: теперь они могут динамически обновлять код расширения без необходимости сначала доставлять новый код на взломанное устройство, в то же время уменьшая скомпрометированный код, присутствующий в самой угрозе. В результате обнаружение SHARPEXT антивирусными решениями стало намного сложнее. Обнаружение уже было сложной задачей из-за того, что угроза собирает информацию во время сеанса входа пользователя, скрывая вторжение от почтового провайдера жертвы.