Threat Database Malware SHARPEXT 瀏覽器擴展

SHARPEXT 瀏覽器擴展

網絡犯罪分子正在使用名為 SHARPEXT 的損壞瀏覽器擴展程序來收集受害者的電子郵件。該行動高度針對感興趣的個人。與其他損壞的擴展不同,SHARPEXT 的目的不是獲取用戶名和密碼。相反,如果在設備上完全建立,威脅可以在使用目標的 webmail 帳戶時直接檢查和竊取數據。該擴展程序可以從 Gmail 和 AOL 中提取數據。

披露攻擊活動細節的研究人員將其歸因於他們追踪為 SharpTongue 的朝鮮威脅行為者。根據他們的報告,該組織的某些活動與眾所周知的網絡犯罪組織 Kimsuky 重疊。到目前為止,已確認 SharpTongue 通常針對來自美國、歐盟和韓國的組織和個人。選定的受害者通常涉及對朝鮮具有戰略意義的事務,例如核活動、武器系統等。

SHARPEXT分析

據信,SHARPEXT 惡意軟件早在 2021 年 9 月就已被添加到該組織的威脅庫中。該威脅的初始版本只能感染谷歌 Chrome 瀏覽器,但最新的 SHARPEXT 3.0 樣本可以將自己鑽入 Edge 和 Whale 瀏覽器,因為出色地。 Whale 是由韓國公司 Naver 開發的基於 Chromium 的瀏覽器,主要在韓國使用。

SHARPEXT 威脅部署在已被破壞的設備上。在它被激活之前,威脅參與者必須手動從受感染的系統中竊取某些必需的文件。之後,通過定制的 VBS 腳本手動安裝 SHARPEXT。該惡意軟件需要將瀏覽器的“首選項”和“安全首選項”文件替換為從攻擊的命令和控制(C2、C&C)服務器檢索到的文件。如果成功,瀏覽器將繼續從“ %APPDATA%\Roaming\AF ”文件夾中自動加載惡意軟件。

威脅的演變

早期的 SHARPEXT 版本在內部實現了它們的主要功能。然而,後來的威脅迭代已經看到大部分必要的代碼都存儲在 C2 服務器上。此更改為威脅參與者提供了兩個主要好處 - 他們現在可以動態更新擴展代碼,而無需先將新代碼交付給被破壞的設備,同時減少威脅本身中存在的受損代碼。因此,反惡意軟件解決方案對 SHARPEXT 的檢測變得更加困難。由於威脅會在用戶登錄會話中收集信息,從而對受害者的電子郵件提供商隱藏入侵,因此檢測已經具有挑戰性。

熱門

最受關注

加載中...