SHARPEXT 浏览器扩展

网络犯罪分子正在使用名为 SHARPEXT 的损坏浏览器扩展程序来收集受害者的电子邮件。该行动高度针对感兴趣的个人。与其他损坏的扩展不同，SHARPEXT 的目的不是获取用户名和密码。相反，如果在设备上完全建立，威胁可以在使用目标网络邮件帐户时直接检查和窃取数据。该扩展程序可以从 Gmail 和 AOL 中提取数据。

透露有关攻击活动细节的研究人员将其归因于他们追踪为 SharpTongue 的朝鲜威胁行为者。根据他们的报告，该组织的某些活动与众所周知的网络犯罪组织 Kimsuky 重叠。到目前为止，已确认 SharpTongue 通常针对来自美国、欧盟和韩国的组织和个人。选定的受害者通常涉及对朝鲜具有战略意义的事务，例如核活动、武器系统等。

SHARPEXT分析

据信，SHARPEXT 恶意软件早在 2021 年 9 月就已被添加到该组织的威胁库中。该威胁的初始版本只能感染谷歌 Chrome 浏览器，但最新的 SHARPEXT 3.0 样本可以将自己钻入 Edge 和 Whale 浏览器，因为出色地。 Whale 是由韩国公司 Naver 开发的基于 Chromium 的浏览器，主要在韩国使用。

SHARPEXT 威胁部署在已被破坏的设备上。在它被激活之前，威胁参与者必须手动从受感染的系统中窃取某些必需的文件。之后，通过定制的 VBS 脚本手动安装 SHARPEXT。该恶意软件需要将浏览器的“首选项”和“安全首选项”文件替换为从攻击的命令和控制（C2、C&C）服务器检索到的文件。如果成功，浏览器将继续从“ %APPDATA%\Roaming\AF ”文件夹中自动加载恶意软件。

威胁的演变

早期的 SHARPEXT 版本在内部实现了它们的主要功能。然而，后来的威胁迭代已经看到大部分必要的代码都存储在 C2 服务器上。此更改为威胁参与者提供了两个主要好处 - 他们现在可以动态更新扩展代码，而无需先将新代码交付给被破坏的设备，同时减少威胁本身中存在的受损代码。因此，反恶意软件解决方案对 SHARPEXT 的检测变得更加困难。由于威胁会在用户登录会话中收集信息，从而对受害者的电子邮件提供商隐藏入侵，因此检测已经具有挑战性。