Розширення браузера SHARPEXT

Кіберзлочинці використовують пошкоджене розширення браузера під назвою SHARPEXT, щоб збирати електронні листи своїх жертв. Операція спрямована проти зацікавлених осіб. На відміну від інших пошкоджених розширень, SHARPEXT не має на меті отримання імен користувачів і паролів. Натомість, якщо загроза повністю встановлена на пристрої, загроза може безпосередньо перевіряти та викрадати дані з облікового запису веб-пошти цілі під час його використання. Розширення може отримувати дані як з Gmail, так і з AOL.

Дослідники, які розкрили подробиці атаки, приписують її північнокорейському загрозливому актору, якого вони відслідковують як Гостроязика. Згідно з їхнім звітом, певна діяльність групи збігається з загальновідомою кіберзлочинною групою Kimsuky. Наразі було підтверджено, що SharpTongue зазвичай націлений на організації та окремих осіб із США, ЄС та Південної Кореї. Вибрані жертви зазвичай пов’язані з питаннями, що становлять стратегічний інтерес для Північної Кореї, такими як ядерна діяльність, системи озброєння тощо.

Аналіз SHARPEXT

Вважається, що зловмисне програмне забезпечення SHARPEXT було додано до загрозливого арсеналу групи ще у вересні 2021 року. Початкові версії загрози могли заразити лише браузери Google Chrome, але останні зразки SHARPEXT 3.0 можуть проникнути в браузери Edge і Whale, оскільки Ну. Whale — це браузер на базі Chromium, розроблений південнокорейською компанією Naver і в основному використовується в Південній Кореї.

Загроза SHARPEXT розгортається на вже зламаних пристроях. Перш ніж його можна буде активувати, зловмисники повинні вручну вилучити певні необхідні файли із зараженої системи. Після цього SHARPEXT встановлюється вручну за допомогою спеціально створеного сценарію VBS. Зловмисне програмне забезпечення потребує заміни файлів «Параметри» та «Безпечні параметри» браузера на файли, отримані з сервера командування та керування (C2, C&C) атаки. У разі успіху браузер автоматично завантажить зловмисне програмне забезпечення з папки « %APPDATA%\Roaming\AF ».

Еволюція загрози

Попередні версії SHARPEXT мали свої основні функції внутрішньо. Однак пізніші ітерації загрози показали, що більшість необхідного коду зберігається на сервері C2. Ця зміна надала суб’єктам загрози дві основні переваги: тепер вони можуть динамічно оновлювати код розширення без необхідності спочатку доставляти новий код на зламаний пристрій, водночас зменшуючи кількість скомпрометованого коду в самій загрозі. У результаті виявлення SHARPEXT засобами захисту від зловмисного програмного забезпечення стало значно складнішим. Виявлення вже було складним завдяки тому факту, що загроза збирає інформацію під час сеансу входу користувача, приховуючи вторгнення від постачальника електронної пошти жертви.