SHARPEXT webbläsartillägg

Cyberbrottslingar använder ett skadat webbläsartillägg som heter SHARPEXT för att samla in e-postmeddelanden från sina offer. Verksamheten är mycket riktad mot individer av intresse. Till skillnad från andra skadade tillägg, syftar inte SHARPEXT till att skaffa användarnamn och lösenord. Istället, om det är fullt etablerat på enheten, kan hotet direkt inspektera och exfiltrera data från målets webbmailkonto medan det används. Tillägget kan extrahera data från både Gmail och AOL.

Forskarna som avslöjade detaljer om attackkampanjen tillskriver den en nordkoreansk hotaktör som de spårar som SharpTongue. Enligt deras rapport överlappar vissa aktiviteter i gruppen den allmänt kända cyberbrottsgruppen Kimsuky. Hittills har det bekräftats att SharpTongue ofta riktar sig mot organisationer och individer från USA, EU och Sydkorea. De utvalda offren är vanligtvis inblandade i frågor av strategiskt intresse för Nordkorea, såsom kärntekniska aktiviteter, vapensystem med mera.

Analys av SHARPEXT

Skadlig programvara SHARPEXT tros ha lagts till gruppens hotfulla arsenal redan i september 2021. De första versionerna av hotet kunde endast infektera Google Chrome-webbläsare, men de senaste SHARPEXT 3.0-exemplen kan gräva sig in i Edge- och Whale-webbläsare som väl. Whale är en Chromium-baserad webbläsare som utvecklats av det sydkoreanska företaget Naver och används mest inom Sydkorea.

SHARPEXT-hotet är utplacerat på enheter som redan har brutits. Innan det kan aktiveras måste hotaktörerna manuellt exfiltrera vissa nödvändiga filer från det infekterade systemet. Efteråt installeras SHARPEXT manuellt via ett skräddarsytt VBS-skript. Skadlig programvara måste ersätta webbläsarens "Preferences" och "Secure Preferences" filer med dem som hämtats från attackens Command-and-Control-server (C2, C&C). Om det lyckas fortsätter webbläsaren att automatiskt ladda skadlig programvara från mappen ' %APPDATA%\Roaming\AF '.

Utvecklingen av hotet

Tidigare SHARPEXT-versioner hade sin primära funktion internt. Senare iterationer av hotet har dock sett att det mesta av den nödvändiga koden har lagrats på C2-servern. Den här förändringen har gett hotaktörerna två huvudsakliga fördelar - de kan nu dynamiskt uppdatera tilläggskoden utan att behöva leverera den nya koden till den brutna enheten först, samtidigt som de minskar den komprometterade koden som finns inom själva hotet. Som ett resultat har det blivit mycket svårare att upptäcka SHARPEXT med lösningar mot skadlig programvara. Detektion var redan utmanande tack vare det faktum att hotet samlar in information inom en användares inloggade session, vilket döljer intrånget från offrets e-postleverantör.