Threat Database Malware SHARPEXT Browser Extension

SHARPEXT Browser Extension

Gumagamit ang mga cybercriminal ng sirang extension ng browser na pinangalanang SHARPEXT upang kolektahin ang mga email ng kanilang mga biktima. Ang operasyon ay lubos na naka-target laban sa mga indibidwal na interesado. Hindi tulad ng iba pang mga sirang extension, hindi nilalayon ng SHARPEXT na makakuha ng mga username at password. Sa halip, kung ganap na naitatag sa device, maaaring direktang suriin at i-exfiltrate ng banta ang data mula sa webmail account ng target habang ginagamit ito. Maaaring kunin ng extension ang data mula sa Gmail at AOL.

Ang mga mananaliksik na nagsiwalat ng mga detalye tungkol sa kampanya ng pag-atake ay iniuugnay ito sa isang aktor ng pagbabanta ng North Korea na sinusubaybayan nila bilang SharpTongue. Ayon sa kanilang ulat, ang ilang aktibidad ng grupo ay magkakapatong sa kilalang cybercrime group na Kimsuky. Sa ngayon, nakumpirma na ang SharpTongue ay karaniwang nagta-target ng mga organisasyon at indibidwal mula sa US, EU at South Korea. Ang mga napiling biktima ay karaniwang may kinalaman sa mga bagay na may kaugnayan sa estratehikong interes sa North Korea, tulad ng mga aktibidad na nuklear, sistema ng armas at higit pa.

Pagsusuri ng SHARPEXT

Ang SHARPEXT malware ay pinaniniwalaang idinagdag sa nagbabantang arsenal ng grupo noong Setyembre 2021. Ang mga unang bersyon ng banta ay may kakayahang makahawa lamang sa mga browser ng Google Chrome, ngunit ang pinakabagong mga sample ng SHARPEXT 3.0 ay maaaring itago ang kanilang mga sarili sa Edge at Whale browser bilang mabuti. Ang Whale ay isang browser na nakabase sa Chromium na binuo ng kumpanya ng South Korea na Naver at kadalasang ginagamit sa loob ng South Korea.

Ang banta ng SHARPEXT ay naka-deploy sa mga nalabag na device. Bago ito ma-activate, kailangang manu-manong i-exfiltrate ng mga banta ng mga aktor ang ilang kinakailangang mga file mula sa nahawaang sistema. Pagkatapos, manu-manong na-install ang SHARPEXT sa pamamagitan ng custom-made na VBS script. Kailangan ng malware para sa mga file na 'Preferences' at 'Secure Preferences' ng browser na mapalitan ng mga nakuha mula sa Command-and-Control (C2, C&C) server ng pag-atake. Kung matagumpay, magpapatuloy ang browser upang awtomatikong i-load ang malware mula sa folder na ' %APPDATA%\Roaming\AF '.

Ebolusyon ng Banta

Dinala ng mga naunang bersyon ng SHARPEXT ang kanilang pangunahing pagpapagana sa loob. Gayunpaman, ang mga pag-ulit sa banta sa ibang pagkakataon ay nakita ang karamihan sa kinakailangang code na iniimbak sa C2 server. Ang pagbabagong ito ay nagbigay sa mga aktor ng pagbabanta ng dalawang pangunahing benepisyo - maaari na nilang dynamic na i-update ang extension code nang hindi na kailangang ihatid muna ang bagong code sa nalabag na device, habang kasabay nito ay binabawasan ang nakompromisong code na nasa loob mismo ng banta. Bilang resulta, ang pagtuklas ng SHARPEXT ng mga solusyon sa anti-malware ay naging mas mahirap. Ang pagtuklas ay naging mahirap dahil sa katotohanan na ang pagbabanta ay nangongolekta ng impormasyon sa loob ng naka-log in na session ng isang user, na itinatago ang panghihimasok mula sa email provider ng biktima.

Trending

Pinaka Nanood

Naglo-load...