Extensión del navegador SHARPEXT

Los ciberdelincuentes están utilizando una extensión de navegador dañada llamada SHARPEXT para recopilar los correos electrónicos de sus víctimas. La operación está altamente dirigida contra individuos de interés. A diferencia de otras extensiones corruptas, SHARPEXT no tiene como objetivo obtener nombres de usuario y contraseñas. En cambio, si está completamente establecida en el dispositivo, la amenaza puede inspeccionar y extraer datos directamente de la cuenta de correo web del objetivo mientras se usa. La extensión puede extraer datos tanto de Gmail como de AOL.

Los investigadores que revelaron detalles sobre la campaña de ataque lo atribuyen a un actor de amenazas de Corea del Norte al que rastrean como SharpTongue. Según su informe, ciertas actividades del grupo se superponen con el conocido grupo de ciberdelincuencia Kimsuky. Hasta el momento, se confirmó que SharpTongue se dirige comúnmente a organizaciones e individuos de los EE. UU., la UE y Corea del Sur. Las víctimas elegidas suelen estar involucradas en asuntos de interés estratégico para Corea del Norte, como actividades nucleares, sistemas de armas y más.

Análisis de SHARPEXT

Se cree que el malware SHARPEXT se agregó al arsenal amenazante del grupo en septiembre de 2021. Las versiones iniciales de la amenaza solo podían infectar los navegadores Google Chrome, pero las últimas muestras de SHARPEXT 3.0 pueden enterrarse en los navegadores Edge y Whale como bien. Whale es un navegador basado en Chromium desarrollado por la empresa surcoreana Naver y utilizado principalmente en Corea del Sur.

La amenaza SHARPEXT se implementa en dispositivos ya violados. Antes de que pueda activarse, los actores de amenazas deben extraer manualmente ciertos archivos necesarios del sistema infectado. Posteriormente, SHARPEXT se instala manualmente a través de un script VBS personalizado. El malware necesita que los archivos de 'Preferencias' y 'Preferencias seguras' del navegador se reemplacen con los recuperados del servidor de comando y control (C2, C&C) del ataque. Si tiene éxito, el navegador procederá a cargar automáticamente el malware desde la carpeta ' %APPDATA%\Roaming\AF '.

Evolución de la Amenaza

Las versiones anteriores de SHARPEXT llevaban su funcionalidad principal internamente. Sin embargo, las iteraciones posteriores de la amenaza han visto que la mayor parte del código necesario se almacena en el servidor C2. Este cambio ha brindado a los actores de amenazas dos beneficios principales: ahora pueden actualizar dinámicamente el código de extensión sin tener que entregar primero el nuevo código al dispositivo violado, mientras que al mismo tiempo reducen el código comprometido presente dentro de la propia amenaza. Como resultado, la detección de SHARPEXT por parte de las soluciones antimalware se ha vuelto mucho más difícil. La detección ya era un desafío gracias al hecho de que la amenaza recopila información dentro de la sesión de inicio de sesión de un usuario, lo que oculta la intrusión del proveedor de correo electrónico de la víctima.