Multi-License Discount Quote
پایگاه داده تهدید Malware بدافزار TRANSLATEXT

بدافزار TRANSLATEXT

تا Mezo در Malware, Advanced Persistent Threat (APT), Stealers
ترجمه به:
فارسی

گروه تهدید کره شمالی Kimsuky با یک برنامه افزودنی تهدیدآمیز جدید گوگل کروم با هدف جمع آوری اطلاعات حساس برای جمع آوری اطلاعات مرتبط شده است. این افزونه با نام TRANSLATEXT که توسط محققان در مارس 2024 کشف شد، قادر به جمع‌آوری آدرس‌های ایمیل، نام‌های کاربری، رمز عبور، کوکی‌ها و اسکرین شات‌های مرورگر است.

این کمپین موسسات دانشگاهی کره جنوبی را هدف قرار داده است، به ویژه آنهایی که در مورد مسائل سیاسی کره شمالی تحقیق می کنند.

کیمسوکی یک گروه جرایم سایبری برجسته است

کیمسوکی، یک گروه هکر معروف از کره شمالی که حداقل از سال 2012 فعال است، در جاسوسی سایبری و حملات با انگیزه مالی علیه اهداف کره جنوبی شرکت می کند. کیمسوکی که با خوشه لازاروس و بخشی از اداره کل شناسایی (RGB) مرتبط است، با نام هایی مانند APT43، ARCHIPELAGO، Black Banshee، Emerald Sleet، Springtail و Velvet Chollima نیز شناخته می شود. ماموریت اصلی آنها نظارت بر پرسنل دانشگاهی و دولتی برای جمع آوری اطلاعات ارزشمند است.

تاکتیک های فیشینگ نیزه ای که اغلب توسط کیمسوکی مورد سوء استفاده قرار می گیرد

این گروه از یک آسیب‌پذیری شناخته‌شده مایکروسافت آفیس (CVE-2017-11882) برای توزیع یک کی‌لاگر، با استفاده از فریب‌های شغلی در حملاتی که بخش‌های هوافضا و دفاعی را هدف قرار می‌دهند، بهره‌برداری کرده است. هدف آنها استقرار یک ابزار جاسوسی با قابلیت جمع آوری داده ها و اجرای بار ثانویه است.

این درب پشتی، که به نظر می‌رسد قبلاً مستند نشده است، مهاجمان را قادر می‌سازد تا شناسایی اولیه را انجام دهند و محموله‌های اضافی را برای کنترل یا کنترل از راه دور دستگاه مستقر کنند.

روش دقیق دسترسی اولیه برای این فعالیت جدید هنوز نامشخص است، اما شناخته شده است که این گروه از حملات spear-phishing و مهندسی اجتماعی برای شروع زنجیره عفونت استفاده می کند.

TRANSLATEXT به‌عنوان Google Translate برای قربانیان حقه بازی ظاهر می‌شود

نقطه شروع حمله یک بایگانی ZIP است که ظاهراً در مورد تاریخ نظامی کره است و حاوی دو فایل است: یک سند پردازشگر کلمه Hangul و یک فایل اجرایی.

راه‌اندازی فایل اجرایی منجر به بازیابی یک اسکریپت PowerShell از یک سرور تحت کنترل مهاجم می‌شود که به نوبه خود، اطلاعات مربوط به قربانی در معرض خطر را به یک مخزن GitHub صادر می‌کند و کد PowerShell اضافی را با استفاده از یک فایل میانبر ویندوز (LNK) دانلود می‌کند.

محققان خاطرنشان می‌کنند که شواهد کشف‌شده در GitHub نشان می‌دهد که کیمسوکی قصد داشت تا قرار گرفتن در معرض را به حداقل برساند و از بدافزار برای مدت کوتاهی برای هدف قرار دادن افراد خاص استفاده کند.

TRANSLATEXT که به عنوان مترجم Google ظاهر می شود، کد جاوا اسکریپت را برای دور زدن اقدامات امنیتی برای سرویس هایی مانند Google، Kakao و Naver ترکیب می کند. سایفون آدرس های ایمیل، اعتبارنامه ها و کوکی ها؛ اسکرین شات های مرورگر را بگیرید و داده های دزدیده شده را استخراج کنید.

همچنین برای واکشی دستورات از URL Blogger Blogspot برای گرفتن اسکرین شات از برگه های تازه باز شده و حذف همه کوکی ها از مرورگر طراحی شده است.

پرطرفدار

بدافزار NiceRAT

Botnets, Malware, Remote Administration Tools
کارشناسان Infosec یک کمپین حمله را کشف کرده اند که شامل عوامل تهدید کننده است که یک نرم افزار تهدید آمیز به نام NiceRAT را به کار می گیرند. هدف از این عملیات ربودن دستگاه های آلوده و افزودن آنها به یک بات نت است. این حملات بر روی کاربران کره جنوبی متمرکز شده و از پوشش های مختلف برای گسترش بدافزار استفاده می کنند، از جمله نرم افزارهای کرک شده مانند مایکروسافت ویندوز یا ابزارهایی که ادعا می کنند...

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
38,767
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...