Programari maliciós TRANSLATEXT
El grup d'amenaces de Corea del Nord Kimsuky s'ha associat amb una nova extensió amenaçadora de Google Chrome destinada a recollir informació sensible per a la recollida d'intel·ligència. Descoberta pels investigadors el març de 2024, l'extensió, anomenada TRANSLATEXT, és capaç de recollir adreces de correu electrònic, noms d'usuari, contrasenyes, galetes i captures de pantalla del navegador.
Aquesta campanya s'ha dirigit a les institucions acadèmiques de Corea del Sud, especialment a aquelles que investiguen temes polítics de Corea del Nord.
Taula de continguts
Kimsuky és un destacat grup de ciberdelinqüència
Kimsuky, un conegut grup de pirates informàtics de Corea del Nord actiu des d'almenys el 2012, es dedica a l'espionatge cibernètic i a atacs per motius financers contra objectius sud-coreans. Associat amb el clúster de Lazarus i part de l'Oficina General de Reconeixement (RGB), Kimsuky també s'identifica amb noms com APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail i Velvet Chollima. La seva missió principal és vigilar el personal acadèmic i governamental per recollir informació valuosa.
Tàctiques de spear-phishing sovint explotades per Kimsuky
El grup ha explotat una vulnerabilitat coneguda de Microsoft Office (CVE-2017-11882) per distribuir un keylogger, utilitzant esquers de temàtica laboral en atacs dirigits als sectors aeroespacial i de defensa. El seu objectiu és desplegar una eina d'espionatge capaç de recopilar dades i executar una càrrega útil secundària.
Aquesta porta del darrere, que sembla que no està documentada anteriorment, permet als atacants dur a terme un reconeixement bàsic i desplegar càrregues útils addicionals per fer-se càrrec de la màquina o controlar-la de forma remota.
El mètode exacte d'accés inicial per a aquesta nova activitat encara no està clar, però se sap que el grup utilitza atacs de pesca i enginyeria social per iniciar la cadena d'infecció.
TRANSLATEXT es fa passar per Google Translate per enganyar víctimes
El punt de partida de l'atac és un arxiu ZIP que pretén tractar sobre la història militar de Corea i que conté dos fitxers: un document del processador de textos Hangul i un executable.
El llançament de l'executable resulta en la recuperació d'un script de PowerShell d'un servidor controlat per l'atacant, que, al seu torn, exporta informació sobre la víctima compromesa a un repositori de GitHub i baixa codi de PowerShell addicional mitjançant un fitxer de drecera de Windows (LNK).
Els investigadors assenyalen que les proves descobertes a GitHub suggereixen que Kimsuky tenia la intenció de minimitzar l'exposició i utilitzar el programari maliciós durant un període curt per dirigir-se a persones específiques.
TRANSLATEXT, que es fa passar per Google Translate, incorpora codi JavaScript per evitar les mesures de seguretat per a serveis com Google, Kakao i Naver; sifon adreces de correu electrònic, credencials i galetes; captura captures de pantalla del navegador i exfiltra les dades robades.
També està dissenyat per obtenir ordres d'un URL de Blogger Blogspot per fer captures de pantalla de les pestanyes que s'acaben d'obrir i eliminar totes les galetes del navegador, entre d'altres.
