Razširitev brskalnika SHARPEXT

Kibernetski kriminalci uporabljajo poškodovano razširitev brskalnika z imenom SHARPEXT za zbiranje e-pošte svojih žrtev. Operacija je zelo usmerjena proti zainteresiranim posameznikom. Za razliko od drugih poškodovanih razširitev SHARPEXT ni namenjen pridobivanju uporabniških imen in gesel. Namesto tega lahko grožnja, če je popolnoma vzpostavljena v napravi, neposredno pregleda in izloči podatke iz ciljnega spletnega poštnega računa, medtem ko se ta uporablja. Razširitev lahko črpa podatke iz Gmaila in AOL.

Raziskovalci, ki so razkrili podrobnosti o napadu, ga pripisujejo severnokorejskemu akterju grožnje, ki ga spremljajo kot SharpTongue. Po njihovem poročilu se nekatere dejavnosti skupine prekrivajo z javno znano kibernetsko kriminalno skupino Kimsuky. Doslej je bilo potrjeno, da SharpTongue običajno cilja na organizacije in posameznike iz ZDA, EU in Južne Koreje. Izbrane žrtve so običajno vpletene v zadeve strateškega pomena za Severno Korejo, kot so jedrske dejavnosti, oborožitveni sistemi in drugo.

Analiza SHARPEXT

Zlonamerna programska oprema SHARPEXT naj bi bila dodana grozečemu arzenalu skupine že septembra 2021. Začetne različice grožnje so lahko okužile samo brskalnike Google Chrome, najnovejši vzorci SHARPEXT 3.0 pa se lahko zakopljejo v brskalnika Edge in Whale kot dobro. Whale je brskalnik, ki temelji na Chromiumu, ki ga je razvilo južnokorejsko podjetje Naver in se večinoma uporablja v Južni Koreji.

Grožnja SHARPEXT je nameščena na napravah, ki so že vdori. Preden se lahko aktivira, morajo akterji grožnje ročno odstraniti določene zahtevane datoteke iz okuženega sistema. Nato se SHARPEXT ročno namesti prek skripta VBS po meri. Zlonamerna programska oprema mora datoteke »Preferences« in »Secure Preferences« brskalnika zamenjati s tistimi, pridobljenimi iz strežnika Command-and-Control (C2, C&C) napada. Če bo uspešen, bo brskalnik samodejno naložil zlonamerno programsko opremo iz mape » %APPDATA%\Roaming\AF «.

Razvoj grožnje

Prejšnje različice SHARPEXT so svojo primarno funkcionalnost prenašale interno. Vendar pa je pri poznejših ponovitvah grožnje večina potrebne kode shranjena na strežniku C2. Ta sprememba je akterjem groženj prinesla dve glavni prednosti - zdaj lahko dinamično posodabljajo razširitveno kodo, ne da bi morali novo kodo najprej dostaviti v poškodovano napravo, hkrati pa zmanjšajo ogroženo kodo, ki je prisotna v sami grožnji. Posledično je zaznavanje SHARPEXT-a s pomočjo rešitev proti zlonamerni programski opremi postalo veliko težje. Že odkrivanje je bilo zahtevno zaradi dejstva, da grožnja zbira informacije v uporabnikovi prijavljeni seji in skriva vdor pred ponudnikom e-pošte žrtve.