Threat Database Malware Rozšírenie prehliadača SHARPEXT

Rozšírenie prehliadača SHARPEXT

Kyberzločinci používajú poškodené rozšírenie prehliadača s názvom SHARPEXT na zhromažďovanie e-mailov svojich obetí. Operácia je vysoko cielená proti záujemcom. Na rozdiel od iných poškodených rozšírení, SHARPEXT nemá za cieľ získavať používateľské mená a heslá. Namiesto toho, ak je plne etablovaná na zariadení, hrozba môže priamo kontrolovať a exfiltrovať údaje z cieľového webového účtu, kým sa používa. Rozšírenie dokáže extrahovať údaje z Gmailu aj AOL.

Výskumníci, ktorí odhalili podrobnosti o útočnej kampani, ju pripisujú severokórejskému aktérovi hrozby, ktorého sledujú ako SharpTongue. Podľa ich správy sa určité aktivity skupiny prekrývajú s verejne známou kyberzločineckou skupinou Kimsuky. Zatiaľ sa potvrdilo, že SharpTongue sa bežne zameriava na organizácie a jednotlivcov z USA, EÚ a Južnej Kórey. Vybrané obete sú zvyčajne zapojené do záležitostí strategického záujmu Severnej Kórey, ako sú jadrové aktivity, zbraňové systémy a ďalšie.

Analýza SHARPEXT

Predpokladá sa, že malvér SHARPEXT bol pridaný do hrozivého arzenálu skupiny už v septembri 2021. Počiatočné verzie hrozby boli schopné infikovať iba prehliadače Google Chrome, no najnovšie vzorky SHARPEXT 3.0 sa môžu zahrabať aj do prehliadačov Edge a Whale. dobre. Whale je prehliadač založený na prehliadači Chromium vyvinutý juhokórejskou spoločnosťou Naver a väčšinou používaný v Južnej Kórei.

Hrozba SHARPEXT je nasadená na už narušených zariadeniach. Pred aktiváciou musia aktéri hrozby manuálne exfiltrovať určité požadované súbory z infikovaného systému. Potom sa SHARPEXT manuálne nainštaluje pomocou vlastného skriptu VBS. Malvér potrebuje, aby boli súbory 'Preferences' a 'Secure Preferences' prehliadača nahradené súbormi získanými zo servera Command-and-Control (C2, C&C) útoku. Ak bude úspešný, prehliadač potom automaticky načíta malvér z priečinka ' %APPDATA%\Roaming\AF '.

Evolúcia hrozby

Skoršie verzie SHARPEXT mali svoje primárne funkcie interne. Avšak v neskorších opakovaniach hrozby bola väčšina potrebného kódu uložená na serveri C2. Táto zmena poskytla aktérom hrozieb dve hlavné výhody – teraz môžu dynamicky aktualizovať kód rozšírenia bez toho, aby museli najprv doručiť nový kód do narušeného zariadenia, a zároveň znížiť napadnutý kód prítomný v samotnej hrozbe. V dôsledku toho sa detekcia SHARPEXT pomocou antimalvérových riešení stala oveľa zložitejšou. Detekcia bola náročná už vďaka tomu, že hrozba zhromažďuje informácie v rámci prihlásenej relácie používateľa, čím skrýva narušenie pred poskytovateľom e-mailu obete.

Trendy

Najviac videné

Načítava...