Un logiciel malveillant, surnommé SHARPEXT par les chercheurs en sécurité de la société de sécurité Volexity, utilise des méthodes intelligentes pour télécharger une extension de navigateur malveillante pour Chrome et Edge. L’extension de navigateur a été validée par des procédures d’authentification multifactorielle. Par conséquent, cette extension ne peut pas être détectée par les services de messagerie standard
Les pirates utilisent ce logiciel malveillant depuis plus d’un an, selon Volexity. C’est l’opération d’une équipe de piratage qui s’appelle SharpTongue. Le gouvernement nord-coréen parraine l’unité, qui collabore avec Kimsuky, un autre groupe. SHARPEXT cible les entreprises de sécurité dans toute la Corée du Sud, les US, et < a href="https://lentrepreneur.co/tag/europe" data-internallinksmanager029f6b8e52c="26" title="Europe">L’Europe travaille sur les armes nucléaires et d’autres questions importantes.
« Par le biais du spear phishing et de l’ingénierie sociale où la victime est amenée à ouvrir un document malveillant », a déclaré le président de Volexity, Steven Adair. « Auparavant, nous avons vu des acteurs de la menace de la RPDC lancer des attaques de harponnage où l’objectif était d’amener la victime à installer une extension de navigateur plutôt qu’un mécanisme de post-exploitation pour la persistance et le vol de données. »
Comment les pirates utilisent le malware
La version actuelle du logiciel malveillant n’est accessible que sous Windows. Cependant, Adair a déclaré qu’il n’y avait aucune raison importante pour laquelle il ne pouvait pas être étendu pour pirater les navigateurs fonctionnant sous Linux et macOS.
Pour que les pirates informatiques contournent les protections du navigateur, ils doivent extraire les informations suivantes de l’appareil qu’ils utilisent :
- La valeur S-ID de l’utilisateur
- Un duplicata du fichier resource.pak par le navigateur
- Les fichiers de préférences d’origine et de sécurité du système de chaque utilisateur
Après avoir modifié les fichiers de préférences, SHARPEXT chargera automatiquement l’extension de navigateur et exploitera un script PowerShell, leur permettant de personnaliser les paramètres et le code.
« Le script s’exécute dans une boucle infinie vérifiant les processus associés aux navigateurs ciblés », décrit Volexity. « Si des navigateurs ciblés sont trouvés en cours d’exécution, le script vérifie le titre de l’onglet pour un mot clé spécifique. Par exemple, ‘05101190’ ou ‘Tab+’, selon la version SHARPEXT. Le mot-clé spécifique est inséré dans le titre par l’extension malveillante lorsqu’un onglet actif change ou lorsqu’une page est chargée. »
Toute l’actualité en temps réel, est sur L’Entrepreneur
