TRANSLATEXT मैलवेयर
उत्तर कोरियाई ख़तरा समूह किमसुकी को एक नए ख़तरनाक Google Chrome एक्सटेंशन से जोड़ा गया है जिसका उद्देश्य ख़ुफ़िया जानकारी जुटाने के लिए संवेदनशील जानकारी इकट्ठा करना है। मार्च 2024 में शोधकर्ताओं द्वारा खोजा गया, TRANSLATEXT नामक एक्सटेंशन ईमेल पते, उपयोगकर्ता नाम, पासवर्ड, कुकीज़ और ब्राउज़र स्क्रीनशॉट एकत्र करने में सक्षम है।
इस अभियान ने दक्षिण कोरियाई शैक्षणिक संस्थानों, विशेषकर उत्तर कोरियाई राजनीतिक मुद्दों पर शोध करने वाले संस्थानों को निशाना बनाया है।
विषयसूची
किमसुकी एक प्रमुख साइबर अपराध समूह है
किमसुकी, उत्तर कोरिया का एक प्रसिद्ध हैकिंग समूह है जो कम से कम 2012 से सक्रिय है, दक्षिण कोरियाई लक्ष्यों के खिलाफ साइबर जासूसी और वित्तीय रूप से प्रेरित हमलों में संलग्न है। लाजरस क्लस्टर से जुड़े और टोही जनरल ब्यूरो (RGB) के हिस्से, किमसुकी को APT43, ARCHIPELAGO, ब्लैक बंशी, एमराल्ड स्लीट, स्प्रिंगटेल और वेलवेट चोलिमा जैसे नामों से भी जाना जाता है। उनका प्राथमिक मिशन मूल्यवान खुफिया जानकारी एकत्र करने के लिए शैक्षणिक और सरकारी कर्मियों की निगरानी करना है।
स्पीयर-फ़िशिंग रणनीति का अक्सर किमसुकी द्वारा फायदा उठाया जाता है
समूह ने एयरोस्पेस और रक्षा क्षेत्रों को लक्षित करने वाले हमलों में नौकरी-थीम वाले लालच का उपयोग करके कीलॉगर वितरित करने के लिए एक ज्ञात माइक्रोसॉफ्ट ऑफिस भेद्यता (CVE-2017-11882) का फायदा उठाया है। उनका लक्ष्य डेटा संग्रह और द्वितीयक पेलोड निष्पादन में सक्षम एक जासूसी उपकरण तैनात करना है।
यह पिछला दरवाजा, जिसके बारे में पहले कोई दस्तावेज नहीं था, हमलावरों को बुनियादी जांच-पड़ताल करने तथा मशीन पर कब्जा करने या उसे दूर से नियंत्रित करने के लिए अतिरिक्त पेलोड तैनात करने में सक्षम बनाता है।
इस नई गतिविधि के लिए प्रारंभिक पहुंच की सटीक विधि अभी भी अस्पष्ट है, लेकिन यह समूह संक्रमण श्रृंखला आरंभ करने के लिए स्पीयर-फिशिंग और सोशल इंजीनियरिंग हमलों का उपयोग करने के लिए जाना जाता है।
ट्रांसलेटटेक्स्ट पीड़ितों को धोखा देने के लिए गूगल ट्रांसलेट का रूप धारण करता है
हमले का प्रारंभिक बिंदु एक ज़िप संग्रह है जो कोरियाई सैन्य इतिहास के बारे में बताया जाता है और जिसमें दो फ़ाइलें हैं: एक हंगुल वर्ड प्रोसेसर दस्तावेज़ और एक निष्पादन योग्य।
निष्पादनयोग्य फ़ाइल को लॉन्च करने पर हमलावर द्वारा नियंत्रित सर्वर से PowerShell स्क्रिप्ट प्राप्त होती है, जो बदले में, संक्रमित पीड़ित के बारे में जानकारी को GitHub रिपोजिटरी में निर्यात करती है और Windows शॉर्टकट (LNK) फ़ाइल के माध्यम से अतिरिक्त PowerShell कोड डाउनलोड करती है।
शोधकर्ताओं ने पाया कि GitHub पर मिले साक्ष्यों से पता चलता है कि किमसुकी का उद्देश्य जोखिम को कम करना था तथा विशिष्ट व्यक्तियों को लक्षित करने के लिए अल्प अवधि के लिए मैलवेयर का उपयोग करना था।
ट्रांसलेटएक्स्ट, जो गूगल ट्रांसलेट के रूप में कार्य करता है, गूगल, काकाओ और नेवर जैसी सेवाओं के लिए सुरक्षा उपायों को दरकिनार करने के लिए जावास्क्रिप्ट कोड को शामिल करता है; ईमेल पते, क्रेडेंशियल और कुकीज़ को चुरा लेता है; ब्राउज़र स्क्रीनशॉट को कैप्चर करता है और चुराए गए डेटा को बाहर निकालता है।
इसे ब्लॉगर ब्लॉगस्पॉट यूआरएल से कमांड प्राप्त करने, नए खुले टैब के स्क्रीनशॉट लेने और ब्राउज़र से सभी कुकीज़ हटाने आदि के लिए भी डिज़ाइन किया गया है।
