Malware TRANSLATEXT
Il gruppo nordcoreano Kimsuky è stato associato a una nuova minacciosa estensione di Google Chrome volta a raccogliere informazioni sensibili per la raccolta di intelligence. Scoperta dai ricercatori nel marzo 2024, l'estensione, denominata TRANSLATEXT, è in grado di raccogliere indirizzi e-mail, nomi utente, password, cookie e screenshot del browser.
Questa campagna ha preso di mira le istituzioni accademiche sudcoreane, in particolare quelle che fanno ricerche su questioni politiche nordcoreane.
Sommario
Kimsuky è un importante gruppo di criminalità informatica
Kimsuky, un noto gruppo di hacker nordcoreano attivo almeno dal 2012, si dedica allo spionaggio informatico e ad attacchi a sfondo finanziario contro obiettivi sudcoreani. Associato all'ammasso Lazarus e parte del Reconnaissance General Bureau (RGB), Kimsuky è anche identificato con nomi come APT43, ARCIPELAGO, Black Banshee, Emerald Sleet, Springtail e Velvet Chollima. La loro missione principale è sorvegliare il personale accademico e governativo per raccogliere preziose informazioni.
Tattiche di spear phishing spesso sfruttate da Kimsuky
Il gruppo ha sfruttato una nota vulnerabilità di Microsoft Office (CVE-2017-11882) per distribuire un keylogger, utilizzando esche a tema lavorativo in attacchi mirati ai settori aerospaziale e della difesa. Il loro obiettivo è implementare uno strumento di spionaggio in grado di raccogliere dati ed eseguire carichi utili secondari.
Questa backdoor, che sembra non essere documentata in precedenza, consente agli aggressori di condurre ricognizioni di base e distribuire carichi utili aggiuntivi per impossessarsi o controllare da remoto la macchina.
L’esatto metodo di accesso iniziale per questa nuova attività non è ancora chiaro, ma è noto che il gruppo utilizza attacchi di spear-phishing e di ingegneria sociale per avviare la catena di infezione.
TRANSLATEXT si finge Google Translate per ingannare le vittime
Il punto di partenza dell'attacco è un archivio ZIP che pretende di riguardare la storia militare coreana e che contiene due file: un documento di elaborazione testi Hangul e un eseguibile.
L'avvio dell'eseguibile comporta il recupero di uno script PowerShell da un server controllato dall'aggressore, che a sua volta esporta le informazioni sulla vittima compromessa in un repository GitHub e scarica codice PowerShell aggiuntivo tramite un file di collegamento di Windows (LNK).
I ricercatori sottolineano che le prove scoperte su GitHub suggeriscono che Kimsuky intendesse ridurre al minimo l'esposizione e utilizzare il malware per un breve periodo per prendere di mira individui specifici.
TRANSLATEXT, che si maschera da Google Translate, incorpora il codice JavaScript per aggirare le misure di sicurezza per servizi come Google, Kakao e Naver; sottrarre indirizzi e-mail, credenziali e cookie; acquisire schermate del browser ed esfiltrare i dati rubati.
È inoltre progettato per recuperare comandi da un URL Blogspot di Blogger per acquisire screenshot delle schede appena aperte ed eliminare tutti i cookie dal browser, tra gli altri.
