Tiện ích mở rộng trình duyệt SHARPEXT

Tội phạm mạng đang sử dụng một tiện ích mở rộng trình duyệt bị hỏng có tên SHARPEXT để thu thập email của các nạn nhân của chúng. Hoạt động này được nhắm mục tiêu cao chống lại các cá nhân quan tâm. Không giống như các tiện ích mở rộng bị hỏng khác, SHARPEXT không nhằm lấy tên người dùng và mật khẩu. Thay vào đó, nếu được thiết lập đầy đủ trên thiết bị, mối đe dọa có thể trực tiếp kiểm tra và lấy dữ liệu từ tài khoản webmail của mục tiêu khi nó đang được sử dụng. Tiện ích mở rộng có thể trích xuất dữ liệu từ cả Gmail và AOL.

Các nhà nghiên cứu đã tiết lộ thông tin chi tiết về chiến dịch tấn công cho rằng đó là mối đe dọa từ Triều Tiên mà họ theo dõi là SharpTongue. Theo báo cáo của họ, một số hoạt động nhất định của nhóm này trùng lặp với nhóm tội phạm mạng được biết đến công khai là Kimsuky. Cho đến nay, đã có xác nhận rằng SharpTongue thường nhắm đến các tổ chức và cá nhân từ Hoa Kỳ, EU và Hàn Quốc. Các nạn nhân được chọn thường liên quan đến các vấn đề quan tâm chiến lược đối với Triều Tiên, chẳng hạn như các hoạt động hạt nhân, hệ thống vũ khí và hơn thế nữa.

Phân tích SHARPEXT

Phần mềm độc hại SHARPEXT được cho là đã được thêm vào kho vũ khí đe dọa của nhóm sớm nhất là vào tháng 9 năm 2021. Các phiên bản ban đầu của mối đe dọa chỉ có khả năng lây nhiễm các trình duyệt Google Chrome, nhưng các mẫu SHARPEXT 3.0 mới nhất có thể tự đào sâu vào các trình duyệt Edge và Whale như Tốt. Whale là một trình duyệt dựa trên Chromium do công ty Naver của Hàn Quốc phát triển và chủ yếu được sử dụng ở Hàn Quốc.

Mối đe dọa SHARPEXT được triển khai trên các thiết bị đã bị xâm phạm. Trước khi nó có thể được kích hoạt, các tác nhân đe dọa phải lọc thủ công các tệp bắt buộc nhất định khỏi hệ thống bị nhiễm. Sau đó, SHARPEXT được cài đặt thủ công thông qua tập lệnh VBS tùy chỉnh. Phần mềm độc hại cần thay thế các tệp 'Preferences' và 'Secure Preferences' của trình duyệt bằng các tệp được truy xuất từ máy chủ Command-and-Control (C2, C&C) của cuộc tấn công. Nếu thành công, trình duyệt sẽ tiến hành tự động tải phần mềm độc hại từ thư mục ' % APPDATA% \ Roaming \ AF '.

Sự phát triển của mối đe dọa

Các phiên bản SHARPEXT trước đó mang chức năng chính của chúng trong nội bộ. Tuy nhiên, các lần lặp lại sau đó của mối đe dọa đã thấy hầu hết các mã cần thiết được lưu trữ trên máy chủ C2. Thay đổi này đã mang lại cho các tác nhân mối đe dọa hai lợi ích chính - giờ đây họ có thể tự động cập nhật mã tiện ích mở rộng mà không cần phải cung cấp mã mới cho thiết bị bị vi phạm trước, đồng thời giảm mã bị xâm phạm hiện diện trong chính mối đe dọa. Do đó, việc phát hiện SHARPEXT bằng các giải pháp chống phần mềm độc hại trở nên khó khăn hơn nhiều. Việc phát hiện đã rất khó khăn do mối đe dọa thu thập thông tin trong phiên đăng nhập của người dùng, che giấu sự xâm nhập từ nhà cung cấp email của nạn nhân.