Threat Database Malware SHARPEXT-Browsererweiterung

SHARPEXT-Browsererweiterung

Cyberkriminelle verwenden eine beschädigte Browsererweiterung namens SHARPEXT, um die E-Mails ihrer Opfer zu sammeln. Die Operation ist sehr gezielt gegen Personen von Interesse. Im Gegensatz zu anderen beschädigten Erweiterungen zielt SHARPEXT nicht darauf ab, Benutzernamen und Passwörter zu erhalten. Stattdessen kann die Bedrohung, wenn sie vollständig auf dem Gerät installiert ist, Daten direkt aus dem Webmail-Konto des Ziels inspizieren und exfiltrieren, während es verwendet wird. Die Erweiterung kann Daten sowohl aus Google Mail als auch aus AOL extrahieren.

Die Forscher, die Details über die Angriffskampagne enthüllten, schreiben sie einem nordkoreanischen Bedrohungsakteur zu, den sie als SharpTongue verfolgen. Ihrem Bericht zufolge überschneiden sich bestimmte Aktivitäten der Gruppe mit der öffentlich bekannten Cybercrime-Gruppe Kimsuky. Bisher wurde bestätigt, dass SharpTongue häufig Organisationen und Einzelpersonen aus den USA, der EU und Südkorea angreift. Die ausgewählten Opfer sind in der Regel in Angelegenheiten von strategischem Interesse für Nordkorea verwickelt, wie nukleare Aktivitäten, Waffensysteme und mehr.

Analyse von SHARPEXT

Es wird angenommen, dass die SHARPEXT-Malware bereits im September 2021 zum Bedrohungsarsenal der Gruppe hinzugefügt wurde. Die ersten Versionen der Bedrohung konnten nur Google Chrome-Browser infizieren, aber die neuesten SHARPEXT 3.0-Beispiele können sich in Edge- und Whale-Browser eingraben. Whale ist ein Chromium-basierter Browser, der von der südkoreanischen Firma Naver entwickelt und hauptsächlich in Südkorea verwendet wird.

Die SHARPEXT-Bedrohung wird auf bereits verletzten Geräten eingesetzt. Bevor es aktiviert werden kann, müssen die Angreifer bestimmte erforderliche Dateien manuell aus dem infizierten System exfiltrieren. Anschließend wird SHARPEXT manuell über ein selbst erstelltes VBS-Skript installiert. Die Malware muss die „Preferences“- und „Secure Preferences“-Dateien des Browsers durch Dateien ersetzen, die vom Command-and-Control-Server (C2, C&C) des Angriffs abgerufen werden. Bei Erfolg fährt der Browser fort, die Malware automatisch aus dem Ordner „ %APPDATA%\Roaming\AF “ zu laden.

Entwicklung der Bedrohung

Frühere SHARPEXT-Versionen trugen ihre primäre Funktionalität intern. Bei späteren Iterationen der Bedrohung wurde jedoch der größte Teil des erforderlichen Codes auf dem C2-Server gespeichert. Diese Änderung hat den Bedrohungsakteuren zwei Hauptvorteile gebracht: Sie können jetzt den Erweiterungscode dynamisch aktualisieren, ohne den neuen Code zuerst an das angegriffene Gerät liefern zu müssen, während gleichzeitig der in der Bedrohung selbst vorhandene kompromittierte Code reduziert wird. Infolgedessen ist die Erkennung von SHARPEXT durch Anti-Malware-Lösungen viel schwieriger geworden. Die Erkennung war bereits eine Herausforderung, da die Bedrohung Informationen innerhalb der angemeldeten Sitzung eines Benutzers sammelt und das Eindringen vor dem E-Mail-Anbieter des Opfers verbirgt.

Im Trend

Am häufigsten gesehen

Wird geladen...