Multi-License Discount Quote
מסד נתונים של איומים Malware TRANSLATEXT תוכנה זדונית

TRANSLATEXT תוכנה זדונית

עד Mezo ב-Malware, Advanced Persistent Threat (APT), Stealers
לתרגם ל:
עברית

קבוצת האיומים הצפון קוריאנית Kimsuky נקשרה עם תוסף מאיים חדש של Google Chrome שמטרתו לאסוף מידע רגיש לאיסוף מודיעין. התוסף, שזכה לכינוי TRANSLATEXT, שהתגלה על ידי חוקרים במרץ 2024, מסוגל לאסוף כתובות דואר אלקטרוני, שמות משתמש, סיסמאות, קובצי Cookie וצילומי מסך של דפדפן.

מסע פרסום זה כוון למוסדות אקדמיים בדרום קוריאה, במיוחד אלה החוקרים נושאים פוליטיים בצפון קוריאה.

Kimsuky היא קבוצת פשעי סייבר בולטת

Kimsuky, קבוצת פריצה ידועה מצפון קוריאה הפעילה לפחות משנת 2012, עוסקת בריגול סייבר והתקפות כלכליות נגד מטרות דרום קוריאה. מקושר לאשכול לזרוס וחלק מהלשכה הכללית של הסיור (RGB), Kimsuky מזוהה גם בשמות כמו APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail ו-Velvet Chollima. המשימה העיקרית שלהם היא לפקח על אנשי אקדמיה ואנשי ממשל כדי לאסוף מידע מודיעיני יקר ערך.

טקטיקות דיוג בחנית מנוצלות לעתים קרובות על ידי Kimsuky

הקבוצה ניצלה פגיעות ידועה של Microsoft Office (CVE-2017-11882) כדי להפיץ מפתח לוגר, תוך שימוש בפתיונות בנושא עבודה בהתקפות המכוונות למגזרי התעופה והחלל וההגנה. המטרה שלהם היא לפרוס כלי ריגול המסוגל לאסוף נתונים וביצוע מטען משני.

הדלת האחורית הזו, שנראית כבלתי מתועדת בעבר, מאפשרת לתוקפים לבצע סיור בסיסי ולפרוס מטענים נוספים לצורך השתלטות או שליטה מרחוק על המכונה.

שיטת הגישה הראשונית המדויקת לפעילות החדשה הזו עדיין לא ברורה, אך ידוע שהקבוצה משתמשת בהתקפות חנית והנדסה חברתית כדי ליזום את שרשרת ההדבקה.

TRANSLATEXT מתחזה ל-Google Translate לקורבנות טריק

נקודת ההתחלה של המתקפה היא ארכיון ZIP שמתיימר להיות על היסטוריה צבאית קוריאנית ומכיל שני קבצים: מסמך של מעבד תמלילים של Hangul וקובץ הפעלה.

השקת קובץ ההפעלה מביאה לאחזור של סקריפט PowerShell משרת הנשלט על ידי תוקף, אשר בתורו מייצא מידע על הקורבן שנפגע למאגר GitHub ומוריד קוד PowerShell נוסף באמצעות קובץ קיצור של Windows (LNK).

חוקרים מציינים שראיות שהתגלו ב-GitHub מצביעות על כך שקימסוקי התכוון למזער את החשיפה ולהשתמש בתוכנה הזדונית לתקופה קצרה כדי למקד לאנשים ספציפיים.

TRANSLATEXT, שמתחזה ל-Google Translate, משלב קוד JavaScript כדי לעקוף אמצעי אבטחה עבור שירותים כמו Google, Kakao ו-Naver; סיפון כתובות דוא"ל, אישורים וקובצי Cookie; לצלם צילומי מסך של דפדפן ולחלץ נתונים גנובים.

זה נועד גם להביא פקודות מכתובת אתר של Blogger Blogspot כדי לצלם צילומי מסך של כרטיסיות שנפתחו לאחרונה ולמחוק את כל קובצי ה-Cookie מהדפדפן, בין היתר.

מגמות

תוכנה זדונית של NiceRAT

Botnets, Malware, Remote Administration Tools
מומחי Infosec חשפו מסע תקיפה הכולל גורמי איומים הפורסים תוכנה מאיימת בשם NiceRAT. מטרת הפעולה היא לחטוף מכשירים נגועים ולהוסיף אותם לבוטנט. התקפות אלו מתמקדות במשתמשים דרום קוריאנים ומשתמשות בתחפושות שונות כדי להפיץ את התוכנה הזדונית, כולל תוכנות סדורות כמו Microsoft Windows או כלים הטוענים לאמת רישיונות של Microsoft Office. התוכנה הזדונית של NiceRAT נפרסת באמצעות תוכניות וכלי תוכנה פרוצים...

הכי נצפה

הונאת דוא"ל 'Gek Squad'

Phishing, Spam
38,767
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...