Zgjerimi i shfletuesit SHARPEXT

Kriminelët kibernetikë po përdorin një shtesë të korruptuar të shfletuesit të quajtur SHARPEXT për të mbledhur emailet e viktimave të tyre. Operacioni është shumë i shënjestruar kundër individëve me interes. Ndryshe nga shtesat e tjera të korruptuara, SHARPEXT nuk synon të marrë emrat e përdoruesve dhe fjalëkalimet. Në vend të kësaj, nëse vendoset plotësisht në pajisje, kërcënimi mund të inspektojë dhe të nxjerrë drejtpërdrejt të dhënat nga llogaria e postës elektronike të objektivit gjatë përdorimit. Shtesa mund të nxjerrë të dhëna si nga Gmail ashtu edhe nga AOL.

Studiuesit që zbuluan detaje rreth fushatës së sulmit ia atribuojnë atë një aktori të kërcënimit të Koresë së Veriut që ata ndjekin si SharpTongue. Sipas raportit të tyre, disa aktivitete të grupit mbivendosen me grupin e njohur publikisht të krimit kibernetik Kimsuky. Deri më tani, u konfirmua se SharpTongue zakonisht synon organizata dhe individë nga SHBA, BE dhe Koreja e Jugut. Viktimat e zgjedhura zakonisht janë të përfshira në çështje me interes strategjik për Korenë e Veriut, të tilla si aktivitetet bërthamore, sistemet e armëve dhe më shumë.

Analiza e SHARPEXT

Malware SHARPEXT besohet të jetë shtuar në arsenalin kërcënues të grupit që në shtator 2021. Versionet fillestare të kërcënimit ishin në gjendje të infektonin vetëm shfletuesit Google Chrome, por mostrat e fundit SHARPEXT 3.0 mund të futen në shfletuesit Edge dhe Whale si mirë. Whale është një shfletues i bazuar në Chromium i zhvilluar nga kompania koreano-jugore Naver dhe përdoret kryesisht në Korenë e Jugut.

Kërcënimi SHARPEXT është vendosur në pajisjet tashmë të shkelura. Përpara se të aktivizohet, aktorët e kërcënimit duhet të nxjerrin manualisht disa skedarë të kërkuar nga sistemi i infektuar. Më pas, SHARPEXT instalohet manualisht nëpërmjet një skripti VBS të bërë me porosi. Malware ka nevojë që skedarët "Preferencat" dhe "Preferencat e Sigurta" të shfletuesit të zëvendësohen me ato të marra nga serveri "Command-and-Control" (C2, C&C) i sulmit. Nëse është i suksesshëm, shfletuesi do të vazhdojë të ngarkojë automatikisht malware nga dosja ' %APPDATA%\Roaming\AF '.

Evolucioni i Kërcënimit

Versionet e mëparshme SHARPEXT e mbanin funksionalitetin e tyre parësor nga brenda. Megjithatë, përsëritjet e mëvonshme të kërcënimit kanë parë që shumica e kodit të nevojshëm të ruhet në serverin C2. Ky ndryshim u ka ofruar aktorëve të kërcënimit dy përfitime kryesore - ata tani mund të përditësojnë në mënyrë dinamike kodin shtesë pa pasur nevojë të dorëzojnë kodin e ri në pajisjen e shkelur më parë, ndërsa në të njëjtën kohë reduktojnë kodin e komprometuar të pranishëm brenda vetë kërcënimit. Si rezultat, zbulimi i SHARPEXT nga zgjidhjet kundër malware është bërë shumë më i vështirë. Zbulimi ishte tashmë sfidues falë faktit se kërcënimi mbledh informacion brenda sesionit të regjistruar të një përdoruesi, duke fshehur ndërhyrjen nga ofruesi i emailit të viktimës.