SHARPEX Tarayıcı Uzantısı

Siber suçlular, kurbanlarının e-postalarını toplamak için SHARPEXT adlı bozuk bir tarayıcı uzantısı kullanıyor. Operasyon yüksek oranda ilgili kişileri hedef alıyor. Diğer bozuk uzantıların aksine, SHARPEXT kullanıcı adı ve şifre elde etmeyi amaçlamaz. Bunun yerine, cihazda tam olarak kuruluysa, tehdit, kullanım sırasında hedefin web posta hesabındaki verileri doğrudan inceleyebilir ve sızdırabilir. Uzantı, hem Gmail'den hem de AOL'den veri çıkarabilir.

Saldırı kampanyasıyla ilgili ayrıntıları açıklayan araştırmacılar, bunu SharpTongue olarak izledikleri Kuzey Koreli bir tehdit aktörüne bağlıyor. Raporlarına göre, grubun belirli faaliyetleri, herkes tarafından bilinen siber suç grubu Kimsuky ile örtüşüyor. Şimdiye kadar SharpTongue'un yaygın olarak ABD, AB ve Güney Kore'den kuruluşları ve bireyleri hedef aldığı doğrulandı. Seçilen kurbanlar tipik olarak nükleer faaliyetler, silah sistemleri ve daha fazlası gibi Kuzey Kore'yi ilgilendiren stratejik meselelerle ilgilenmektedir.

SHARPXT analizi

SHARPEXT kötü amaçlı yazılımının, grubun tehdit edici cephaneliğine Eylül 2021 gibi erken bir tarihte eklendiğine inanılıyor. Tehdidin ilk sürümleri yalnızca Google Chrome tarayıcılarına bulaşabiliyordu, ancak en son SHARPEXT 3.0 örnekleri, kendilerini Edge ve Whale tarayıcılarına yerleştirebilir. kuyu. Whale, Güney Koreli şirket Naver tarafından geliştirilen ve çoğunlukla Güney Kore'de kullanılan Chromium tabanlı bir tarayıcıdır.

SHARPEXT tehdidi, zaten ihlal edilmiş cihazlara dağıtılır. Etkinleştirilmeden önce, tehdit aktörlerinin virüslü sistemden bazı gerekli dosyaları manuel olarak sızdırması gerekir. Daha sonra, SHARPEX özel yapım bir VBS komut dosyası aracılığıyla manuel olarak yüklenir. Kötü amaçlı yazılımın, tarayıcının 'Tercihler' ve 'Güvenli Tercihler' dosyalarının, saldırının Komuta ve Kontrol (C2, C&C) sunucusundan alınanlarla değiştirilmesi gerekir. Başarılı olursa, tarayıcı kötü amaçlı yazılımı ' %APPDATA%\Roaming\AF ' klasöründen otomatik olarak yüklemeye devam edecektir.

Tehdidin Evrimi

Daha önceki SHARPEXT sürümleri, birincil işlevlerini dahili olarak taşıyordu. Ancak, tehdidin sonraki yinelemeleri, gerekli kodun çoğunun C2 sunucusunda depolandığını gördü. Bu değişiklik, tehdit aktörlerine iki ana avantaj sağladı - artık yeni kodu ilk önce ihlal edilen cihaza teslim etmek zorunda kalmadan uzantı kodunu dinamik olarak güncelleyebilirken, aynı zamanda tehdidin kendisinde bulunan güvenliği ihlal edilmiş kodu da azaltabiliyorlar. Sonuç olarak, SHARPEX'in kötü amaçlı yazılımdan koruma çözümleri tarafından algılanması çok daha zor hale geldi. Tehdidin bir kullanıcının oturum açtığı oturumda bilgi toplaması ve izinsiz girişi kurbanın e-posta sağlayıcısından gizlemesi nedeniyle algılama zaten zordu.