TRANSLATEXT Malware
Grupi i kërcënimit të Koresë së Veriut Kimsuky është lidhur me një shtesë të re kërcënuese të Google Chrome që synon të mbledhë informacione të ndjeshme për mbledhjen e inteligjencës. Zbuluar nga studiuesit në mars 2024, zgjerimi, i quajtur TRANSLATEXT, është i aftë të mbledhë adresat e emailit, emrat e përdoruesve, fjalëkalimet, kukit dhe pamjet e ekranit të shfletuesit.
Kjo fushatë ka synuar institucionet akademike të Koresë së Jugut, veçanërisht ato që hulumtojnë çështjet politike të Koresë së Veriut.
Tabela e Përmbajtjes
Kimsuky është një grup i shquar i krimit kibernetik
Kimsuky, një grup i mirënjohur hakerash nga Koreja e Veriut, aktiv që nga viti 2012, angazhohet në spiunazh kibernetik dhe sulme të motivuara financiarisht kundër objektivave të Koresë së Jugut. I lidhur me grupin Lazarus dhe pjesë e Byrosë së Përgjithshme të Zbulimit (RGB), Kimsuky identifikohet gjithashtu me emra të tillë si APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail dhe Velvet Chollima. Misioni i tyre kryesor është të vëzhgojnë personelin akademik dhe qeveritar për të mbledhur inteligjencë të vlefshme.
Taktikat e phishing me shtiza të shfrytëzuara shpesh nga Kimsuky
Grupi ka shfrytëzuar një dobësi të njohur të Microsoft Office (CVE-2017-11882) për të shpërndarë një keylogger, duke përdorur joshje me temë pune në sulmet që synojnë sektorët e hapësirës ajrore dhe të mbrojtjes. Qëllimi i tyre është të vendosin një mjet spiunazhi të aftë për mbledhjen e të dhënave dhe ekzekutimin e ngarkesës dytësore.
Kjo derë e pasme, e cila duket të jetë e padokumentuar më parë, u mundëson sulmuesve të kryejnë zbulimin bazë dhe të vendosin ngarkesa shtesë për marrjen ose kontrollin nga distanca të makinës.
Metoda e saktë e hyrjes fillestare për këtë aktivitet të ri mbetet e paqartë, por grupi dihet se përdor sulmet e phishing-ut dhe inxhinierisë sociale për të inicuar zinxhirin e infeksionit.
TRANSLATEXT Pozon si Google Translate për viktimat e mashtrimit
Pika fillestare e sulmit është një arkiv ZIP që pretendon të jetë në lidhje me historinë ushtarake koreane dhe që përmban dy skedarë: Një dokument Hangul Word Processor dhe një të ekzekutueshëm.
Nisja e ekzekutueshme rezulton në marrjen e një skripti PowerShell nga një server i kontrolluar nga sulmuesi, i cili, nga ana tjetër, eksporton informacione për viktimën e komprometuar në një depo GitHub dhe shkarkon kodin shtesë të PowerShell me anë të një skedari të shkurtoreve të Windows (LNK).
Studiuesit vërejnë se provat e zbuluara në GitHub sugjerojnë se Kimsuky synonte të minimizonte ekspozimin dhe të përdorte malware për një periudhë të shkurtër për të synuar individë të veçantë.
TRANSLATEXT, i cili maskohet si Google Translate, përfshin kodin JavaScript për të anashkaluar masat e sigurisë për shërbime si Google, Kakao dhe Naver; sifon adresat e emailit, kredencialet dhe cookies; kapni pamjet e shfletuesit dhe nxirrni të dhënat e vjedhura.
Është krijuar gjithashtu për të marrë komanda nga një URL e Blogger Blogspot për të marrë pamje nga ekranet e skedave të sapohapura dhe për të fshirë të gjitha kukit nga shfletuesi, ndër të tjera.
