Dalla Corea del Nord arriva una nuova minaccia informatica: si chiama SHARPEXT ed è una estensione malevola di Chrome che si impossessa degli account email dei malcapitati che vengono attaccati.
A portare avanti questa campagna malware sarebbe un gruppo di hacker chiamato SharpTongue, anche conosciuto come Kimsuky, che mira a rubare account email AOL e Gmail.
Nelle prime versioni di SHARPEXT esaminate da Volexity, il malware supportava solo Google Chrome. L’ultima versione (3.0 basata sul controllo delle versioni interno) supporta tre browser: Chrome, Edge e Whale.
SHARPEXT ecco come funziona
Questo malware agisce prendendo un sistema come bersaglio e, una volta individuato e compromesso questo sistema, lo script permette di sostituire i file sulle preferenze (sia standard che in modalità protetta) con file scaricati dal server 2C a cui si collega il malware.
Una volta compromessi e scaricati i file, il malware installa SHARPEXT in modo che possa poi consultare i file e le mail mentre la vittima li consulta, procedendo poi a carpire i dati di interesse del malware.
Il malware utilizza questi file per creare nuovi file di Preferenze e Preferenze di sicurezza che verranno accettati dal browser al momento dell’implementazione (e mantengono le impostazioni esistenti configurate dall’utente, evitando qualsiasi confusione da parte degli utenti).
Con i file delle preferenze modificati in esecuzione, il browser caricherà automaticamente l’estensione dannosa che si trova nella cartella “%APPDATA%\Roaming\AF”. L’estensione si basa principalmente sull’autorizzazione “DevTools”, che è impostata nelle impostazioni dell’estensione.
L’uso di estensioni del browser dannose da parte degli attori delle minacce nordcoreani non è nuovo; questa tattica è stata in genere utilizzata per infettare gli utenti come parte della fase di consegna di un attacco. Tuttavia, questa è la prima volta che Volexity osserva estensioni dannose del browser utilizzate come parte della fase post-sfruttamento di una compromissione.
Rubando i dati e-mail nel contesto di una sessione di accesso già effettuata di un utente, l’attacco viene nascosto al provider di posta elettronica, rendendo il rilevamento molto difficile. Allo stesso modo, il modo in cui funziona l’estensione significa che un’attività sospetta non verrebbe registrata nella pagina di stato dell'”attività dell’account” dell’e-mail di un utente, se dovesse esaminarla.
La distribuzione di SHARPEXT è altamente personalizzata, poiché l’hacker deve prima ottenere l’accesso al file delle preferenze di sicurezza del browser originale della vittima. Questo file viene quindi modificato e utilizzato per distribuire l’estensione dannosa. Volexity ha osservato SharpTongue distribuire SHARPEXT contro obiettivi per oltre un anno; e, in ogni caso, viene creata una cartella dedicata all’utente infetto contenente i file necessari per l’estensione.