TRANSLATEXT Malware
O grupo de ameaças norte-coreano Kimsuky foi associado a uma nova extensão ameaçadora do Google Chrome que visa coletar informações confidenciais para coleta de inteligência. Descoberta pelos pesquisadores em março de 2024, a extensão, batizada de TRANSLATEXT, é capaz de coletar endereços de e-mail, nomes de usuário, senhas, cookies e capturas de tela do navegador.
Esta campanha tem como alvo instituições académicas sul-coreanas, particularmente aquelas que investigam questões políticas norte-coreanas.
Índice
O Kimsuky é um Grupo Proeminente de Crimes Cibernéticos
O Kimsuky, um conhecido grupo de hackers da Coreia do Norte, ativo desde pelo menos 2012, envolve-se em espionagem cibernética e ataques com motivação financeira contra alvos sul-coreanos. Associado ao aglomerado Lazarus e parte do Reconnaissance General Bureau (RGB), Kimsuky também é identificado por nomes como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail e Velvet Chollima. A sua principal missão é vigiar o pessoal académico e governamental para recolher informações valiosas.
As Táticas de Spear-Phishing Frequentemente Exploradas pelo Kimsuky
O grupo explorou uma vulnerabilidade conhecida do Microsoft Office (CVE-2017-11882) para distribuir um keylogger, usando iscas com temas de trabalho em ataques direcionados aos setores aeroespacial e de defesa. Seu objetivo é implantar uma ferramenta de espionagem capaz de coletar dados e executar cargas secundárias.
Esse backdoor, que parece não ter sido documentado anteriormente, permite que invasores realizem reconhecimento básico e implantem cargas adicionais para assumir ou controlar remotamente a máquina.
O método exato de acesso inicial para esta nova atividade ainda não está claro, mas o grupo é conhecido por usar ataques de spear-phishing e engenharia social para iniciar a cadeia de infecção.
O TRANSLATEXT Se Apresenta como o Google Translate para Suas Vítimas
O ponto de partida do ataque é um arquivo ZIP que pretende ser sobre a história militar coreana e que contém dois arquivos: um documento do processador de texto Hangul e um executável.
O lançamento do executável resulta na recuperação de um script do PowerShell de um servidor controlado pelo invasor, que, por sua vez, exporta informações sobre a vítima comprometida para um repositório GitHub e baixa código adicional do PowerShell por meio de um arquivo de atalho do Windows (LNK).
Os pesquisadores observam que as evidências descobertas no GitHub sugerem que Kimsuky pretendia minimizar a exposição e usar o malware por um curto período para atingir indivíduos específicos.
O TRANSLATEXT, que se disfarça como Google Translate, incorpora código JavaScript para contornar medidas de segurança para serviços como Google, Kakao e Naver; desviar endereços de e-mail, credenciais e cookies; capture capturas de tela do navegador e exfiltre dados roubados.
Ele também foi projetado para buscar comandos de uma URL do Blogger Blogspot para fazer capturas de tela de guias recém-abertas e excluir todos os cookies do navegador, entre outros.
