Un grupo de hackers llamado SharpTongue, también conocido como Kimsuky, cuyo objetivo es robar cuentas de correo electrónico de AOL y Gmail, está ejecutando esta campaña de malware.
En las primeras versiones de SHARPEXT revisadas por Volexity, el malware solo era compatible con Google Chrome. La última versión (3.0 basada en versiones internas) admite tres navegadores: Chrome, Edge y Whale.
-Mediante esta forma funciona SHARPEXT
Este malware actúa apuntando a un sistema y, una vez que este sistema ha sido identificado y comprometido, el script le permite reemplazar los archivos de preferencia (tanto en modo estándar como protegido) con archivos descargados del servidor 2C al que está conectado el malware.
Una vez que los archivos son comprometidos y descargados, el malware instala SHARPEXT para que luego pueda consultar los archivos y correos electrónicos mientras la víctima los consulta, luego procede a robar los datos de interés del malware.
El malware utiliza estos archivos para crear nuevos archivos de Preferencias y Preferencias de seguridad que serán aceptados por el navegador al momento de la implementación (y mantener las configuraciones existentes configuradas por el usuario, evitando cualquier confusión por parte de los usuarios).
Con los archivos de preferencias modificados en ejecución, el navegador cargará automáticamente la extensión maliciosa ubicada en la carpeta “% APPDATA% \ Roaming \ AF”. La extensión se basa principalmente en el permiso «DevTools», que se establece en la configuración de la extensión.
El uso de extensiones de navegador maliciosas por parte de los actores de amenazas de Corea del Norte no es nuevo; esta táctica se ha utilizado normalmente para infectar a los usuarios como parte de la fase de entrega de un ataque. Sin embargo, esta es la primera vez que Volexity observa que se utilizan extensiones de navegador maliciosas como parte de la fase posterior a la explotación de un compromiso.
Al robar datos de correo electrónico en el contexto de la sesión de un usuario que ya ha iniciado sesión, el ataque se oculta al proveedor de correo electrónico, lo que dificulta la detección. Del mismo modo, la forma en que funciona la extensión significa que la actividad sospechosa no se registraría en la página de estado de «actividad de la cuenta» del correo electrónico de un usuario si fuera a investigarla.
La distribución de SHARPEXT está altamente personalizada, ya que el pirata informático primero debe obtener acceso al archivo de preferencias de seguridad del navegador original de la víctima. Luego, este archivo se modifica y se usa para distribuir la extensión maliciosa. Volexity ha visto a SharpTongue desplegar SHARPEXT contra objetivos durante más de un año; y, en cualquier caso, se crea una carpeta dedicada al usuario infectado que contiene los archivos necesarios para la extensión.