SHARPEXT ブラウザ拡張機能

サイバー犯罪者は、被害者の電子メールを収集するために、SHARPEXT という名前の破損したブラウザー拡張機能を使用しています。この作戦は、関心のある個人を高度に対象としています。他の破損した拡張機能とは異なり、SHARPEXT はユーザー名とパスワードを取得することを目的としていません。代わりに、デバイス上で完全に確立された場合、脅威は、ターゲットの Web メール アカウントが使用されている間に、そのデータを直接検査して盗み出すことができます。この拡張機能は、Gmail と AOL の両方からデータを抽出できます。

攻撃キャンペーンの詳細を明らかにした研究者は、SharpTongue として追跡している北朝鮮の脅威アクターによるものであると考えています。彼らのレポートによると、このグループの特定の活動は、有名なサイバー犯罪グループ Kimsuky と重複しています。これまでのところ、SharpTongue は一般的に米国、EU、韓国の組織や個人を標的にしていることが確認されています。選ばれた犠牲者は通常、核活動や兵器システムなど、北朝鮮の戦略的利益の問題に関与しています。

SHARPEXTの分析

SHARPEXT マルウェアは、早ければ 2021 年 9 月にグループの脅威の兵器庫に追加されたと考えられています。この脅威の初期バージョンは、Google Chrome ブラウザーにのみ感染することができましたが、最新の SHARPEXT 3.0 サンプルは、Edge および Whale ブラウザーに潜り込むことができます。良い。 Whale は、韓国の会社 Naver によって開発された Chromium ベースのブラウザーで、主に韓国内で使用されています。

SHARPEXT の脅威は、すでに侵害されたデバイスに展開されています。アクティブ化する前に、攻撃者は感染したシステムから特定の必要なファイルを手動で抽出する必要があります。その後、カスタムメイドの VBS スクリプトを使用して SHARPEXT を手動でインストールします。マルウェアは、ブラウザの「Preferences」ファイルと「Secure Preferences」ファイルを、攻撃のコマンド アンド コントロール (C2、C&C) サーバーから取得したファイルに置き換える必要があります。成功すると、ブラウザは「 %APPDATA%\Roaming\AF 」フォルダからマルウェアを自動的に読み込みます。

脅威の進化

以前の SHARPEXT バージョンでは、主要な機能が内部的に実行されていました。しかし、この脅威のその後の繰り返しで、必要なコードのほとんどが C2 サーバーに保存されていることが確認されました。この変更により、攻撃者は 2 つの主な利点を得ることができました。最初に侵害されたデバイスに新しいコードを配信する必要なく、拡張コードを動的に更新できると同時に、脅威自体に存在する侵害されたコードを減らすことができます。その結果、マルウェア対策ソリューションによる SHARPEXT の検出は、はるかに困難になっています。脅威がユーザーのログイン セッション内で情報を収集し、被害者の電子メール プロバイダーからの侵入を隠すため、検出はすでに困難でした。