Extension de navigateur SHARPEXT

Les cybercriminels utilisent une extension de navigateur corrompue nommée SHARPEXT pour collecter les e-mails de leurs victimes. L'opération est très ciblée contre des individus d'intérêt. Contrairement à d'autres extensions corrompues, SHARPEXT ne vise pas à obtenir des noms d'utilisateur et des mots de passe. Au lieu de cela, si elle est entièrement établie sur l'appareil, la menace peut directement inspecter et exfiltrer les données du compte de messagerie Web de la cible pendant son utilisation. L'extension peut extraire des données de Gmail et d'AOL.

Les chercheurs qui ont révélé des détails sur la campagne d'attaque l'attribuent à un acteur menaçant nord-coréen qu'ils suivent sous le nom de SharpTongue. Selon leur rapport, certaines activités du groupe se chevauchent avec le groupe de cybercriminalité publiquement connu Kimsuky. Jusqu'à présent, il a été confirmé que SharpTongue cible généralement des organisations et des individus des États-Unis, de l'UE et de la Corée du Sud. Les victimes choisies sont généralement impliquées dans des questions d'intérêt stratégique pour la Corée du Nord, telles que les activités nucléaires, les systèmes d'armes, etc.

Analyse de SHARPEXT

On pense que le malware SHARPEXT a été ajouté à l'arsenal menaçant du groupe dès septembre 2021. Les versions initiales de la menace n'étaient capables d'infecter que les navigateurs Google Chrome, mais les derniers échantillons SHARPEXT 3.0 peuvent s'enfouir dans les navigateurs Edge et Whale comme bien. Whale est un navigateur basé sur Chromium développé par la société sud-coréenne Naver et principalement utilisé en Corée du Sud.

La menace SHARPEXT est déployée sur des appareils déjà piratés. Avant de pouvoir l'activer, les pirates doivent exfiltrer manuellement certains fichiers requis du système infecté. Ensuite, SHARPEXT est installé manuellement via un script VBS personnalisé. Le logiciel malveillant a besoin que les fichiers « Préférences » et « Préférences sécurisées » du navigateur soient remplacés par ceux récupérés à partir du serveur Command-and-Control (C2, C&C) de l'attaque. En cas de succès, le navigateur procédera alors au chargement automatique du logiciel malveillant à partir du dossier ' %APPDATA%\Roaming\AF '.

Évolution de la menace

Les versions antérieures de SHARPEXT portaient leur fonctionnalité principale en interne. Cependant, les itérations ultérieures de la menace ont vu la plupart du code nécessaire être stocké sur le serveur C2. Ce changement a fourni aux acteurs de la menace deux avantages principaux : ils peuvent désormais mettre à jour dynamiquement le code d'extension sans avoir à fournir d'abord le nouveau code à l'appareil piraté, tout en réduisant en même temps le code compromis présent dans la menace elle-même. En conséquence, la détection de SHARPEXT par les solutions anti-malware est devenue beaucoup plus difficile. La détection était déjà difficile en raison du fait que la menace collecte des informations dans la session de connexion d'un utilisateur, cachant l'intrusion au fournisseur de messagerie de la victime.