СХАРПЕКСТ Бровсер Ектенсион

Сајбер криминалци користе оштећено проширење претраживача под називом СХАРПЕКСТ да би прикупили е-пошту својих жртава. Операција је високо циљана против појединаца од интереса. За разлику од других оштећених екстензија, СХАРПЕКСТ нема за циљ да добије корисничка имена и лозинке. Уместо тога, ако је у потпуности успостављена на уређају, претња може директно да прегледа и ексфилтрира податке са налога веб поште циља док се користи. Екстензија може да издваја податке из Гмаил-а и АОЛ-а.

Истраживачи који су открили детаље о кампањи напада приписују је севернокорејском претњи кога прате као СхарпТонгуе. Према њиховом извештају, одређене активности групе се преклапају са јавно познатом групом за сајбер криминал Кимсуки. До сада је потврђено да СхарпТонгуе обично циља на организације и појединце из САД, ЕУ и Јужне Кореје. Одабране жртве се обично баве питањима од стратешког интереса за Северну Кореју, као што су нуклеарне активности, системи оружја и још много тога.

Анализа СХАРПЕКСТ-а

Верује се да је малвер СХАРПЕКСТ додат у претећи арсенал групе још у септембру 2021. Почетне верзије претње су могле да заразе само Гоогле Цхроме претраживаче, али најновији СХАРПЕКСТ 3.0 узорци могу да се укопају у Едге и Вхале претраживаче као добро. Вхале је претраживач заснован на хрому који је развила јужнокорејска компанија Навер и углавном се користи у Јужној Кореји.

Претња СХАРПЕКСТ је распоређена на већ оштећеним уређајима. Пре него што се може активирати, актери претње морају ручно да ексфилтрирају одређене потребне датотеке из зараженог система. Након тога, СХАРПЕКСТ се ручно инсталира преко прилагођене ВБС скрипте. Злонамерном софтверу је потребно да датотеке 'Преференцес' и 'Сецуре Преференцес' прегледача буду замењене онима које се преузимају са сервера за команду и контролу (Ц2, Ц&Ц) напада. Ако успе, претраживач ће затим наставити да аутоматски учитава малвер из фасцикле „ %АППДАТА%\Роаминг\АФ “.

Еволуција претње

Раније СХАРПЕКСТ верзије су интерно носиле своју примарну функционалност. Међутим, у каснијим итерацијама претње већина потребног кода је ускладиштена на Ц2 серверу. Ова промена је пружила актерима претње две главне предности – они сада могу динамички ажурирати шифру екстензије без потребе да прво испоруче нови код на оштећени уређај, док у исто време смањују компромитовани код присутан у самој претњи. Као резултат тога, откривање СХАРПЕКСТ-а од стране анти-малвер решења постало је много теже. Детекција је већ била изазовна захваљујући чињеници да претња прикупља информације у оквиру сесије пријављеног корисника, скривајући упад од провајдера е-поште жртве.