Расширение SHARPEXT теперь активно используется разными группировками

Связанная с Северной Кореей группировка SharpTongue использует вредоносное расширение для веб-браузеров на основе Chromium, чтобы шпионить за пользователями электронной почты Gmail и AOL. Исследователи ИБ-компании Volexity отследили группу SharpTongue, деятельность которой совпадает с деятельностью APT-группы Kimsuky . За последний год Volexity отреагировала на несколько киберинцидентов с участием SharpTongue, и в большинстве случаев хакеры использовали вредоносное расширение Google Chrome или Microsoft Edge под названием «SHARPEXT».

В отличие от других расширений SHARPEXT не пытается украсть имя пользователя и пароль, а получает доступ к учетной записи, когда пользователь ее просматривает. Текущая версия расширения может красть содержимое электронных писем как из Gmail, так и из веб-почты AOL.

SHARPEXT — это вредоносное расширение для браузера, развернутое SharpTongue после успешной компрометации целевой системы. В первых версиях SHARPEXT поддерживало только Google Chrome. Последняя версия 3.0 поддерживает уже 3 браузера:

• Chrome;
• Edge;
• Whale (используется южнокорейскими пользователями).

Цепочка атак начинается с того, что злоумышленники с зараженного устройства вручную извлекают файлы, необходимые для установки расширения. После взлома целевой системы хакеры изменяют настройки браузера и настройки безопасности.

Затем SharpTongue вручную устанавливает SHARPEXT с помощью VBS-сценария. Злоумышленники включают DevTools панель на активной вкладке, чтобы следить за содержимым электронной почты и воровать вложения. Это действие выполняется с помощью PowerShell-сценария с именем «dev.ps1». SharpTongue также скрывают предупреждающие сообщения о запуске расширений режима разработчика.

«При первом обнаружении SHARPEXT казалось, что этот инструмент на ранней стадии разработки со множеством ошибок, что свидетельствует о незрелости инструмента. Последние обновления и текущее техническое обслуживание демонстрируют, что злоумышленник находит ценность в дальнейшем совершенствовании SHARPEXT.

Расширение было весьма успешным, поскольку злоумышленник смог успешно украсть тысячи электронных писем от нескольких жертв посредством развертывания вредоносного ПО», - добавили эксперты Volexity.

Эксперты отметили, что киберпреступники впервые использовали вредоносные расширения браузера на этапе постэксплуатации. Кража данных электронной почты из активного сеанса делает эту атаку скрытной и трудно обнаруживаемой. Исследователи поделились YARA-правилами для обнаружения этих атак и индикаторами компрометации (IOC) для этой угрозы.

Ранее Эксперты Volexity отметили, что кампания Kimsuky с использованием SHARPTEXT направлена на политиков и других лиц, «представляющих стратегический интерес» в США, Европе и Южной Корее.