TRANSLATEXT Malware
Grupul de amenințări nord-coreean Kimsuky a fost asociat cu o nouă extensie Google Chrome amenințătoare, care vizează colectarea de informații sensibile pentru colectarea de informații. Descoperită de cercetători în martie 2024, extensia, denumită TRANSLATEXT, este capabilă să colecteze adrese de e-mail, nume de utilizator, parole, cookie-uri și capturi de ecran ale browserului.
Această campanie a vizat instituțiile academice sud-coreene, în special cele care cercetează problemele politice nord-coreene.
Cuprins
Kimsuky este un grup proeminent de criminalitate cibernetică
Kimsuky, un cunoscut grup de hacking din Coreea de Nord activ din cel puțin 2012, se angajează în spionaj cibernetic și atacuri motivate financiar împotriva țintelor sud-coreene. Asociat cu clusterul Lazarus și parte a Biroului General de Recunoaștere (RGB), Kimsuky este, de asemenea, identificat prin nume precum APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail și Velvet Chollima. Misiunea lor principală este de a supraveghea personalul academic și guvernamental pentru a colecta informații valoroase.
Tactici de spear-phishing adesea exploatate de Kimsuky
Grupul a exploatat o vulnerabilitate cunoscută Microsoft Office (CVE-2017-11882) pentru a distribui un keylogger, folosind momeli cu tematică de muncă în atacuri care vizează sectoarele aerospațiale și de apărare. Scopul lor este să implementeze un instrument de spionaj capabil să colecteze date și să execute încărcătura utilă secundară.
Această ușă din spate, care pare a fi nedocumentată anterior, permite atacatorilor să efectueze recunoașteri de bază și să implementeze încărcături suplimentare pentru preluarea sau controlul de la distanță a mașinii.
Metoda exactă de acces inițial pentru această nouă activitate rămâne neclară, dar se știe că grupul folosește atacuri de tip spear-phishing și inginerie socială pentru a iniția lanțul de infecție.
TRANSLATEXT se prezintă ca Google Translate pentru a păcăli victimele
Punctul de pornire al atacului este o arhivă ZIP care se pretinde a fi despre istoria militară coreeană și care conține două fișiere: un document Hangul Word Processor și un executabil.
Lansarea executabilului are ca rezultat preluarea unui script PowerShell de pe un server controlat de atacator, care, la rândul său, exportă informații despre victima compromisă într-un depozit GitHub și descarcă cod PowerShell suplimentar prin intermediul unui fișier de comandă rapidă Windows (LNK).
Cercetătorii notează că dovezile descoperite pe GitHub sugerează că Kimsuky a intenționat să minimizeze expunerea și să folosească malware-ul pentru o perioadă scurtă de timp pentru a viza anumite persoane.
TRANSLATEXT, care se preface drept Google Translate, încorporează cod JavaScript pentru a ocoli măsurile de securitate pentru servicii precum Google, Kakao și Naver; sifonează adresele de e-mail, acreditările și modulele cookie; capturați capturi de ecran ale browserului și exfiltrați datele furate.
De asemenea, este conceput pentru a prelua comenzi de la o adresă URL Blogger Blogspot pentru a face capturi de ecran ale filelor nou deschise și pentru a șterge toate modulele cookie din browser, printre altele.
