ТРАНСЛАТЕКСТ Малваре
Севернокорејска група за претње Кимсуки повезана је са новим претећим проширењем за Гоогле Цхроме који има за циљ прикупљање осетљивих информација за прикупљање обавештајних података. Екстензија, названа ТРАНСЛАТЕКСТ, коју су открили истраживачи у марту 2024., може да прикупља адресе е-поште, корисничка имена, лозинке, колачиће и снимке екрана претраживача.
Ова кампања је усмерена на јужнокорејске академске институције, посебно на оне које истражују севернокорејска политичка питања.
Преглед садржаја
Кимсуки је истакнута група за сајбер криминал
Кимсуки, позната хакерска група из Северне Кореје активна најмање од 2012. године, бави се сајбер шпијунажом и финансијски мотивисаним нападима на јужнокорејске мете. Повезан са Лазарус кластером и делом Генералног бироа за извиђање (РГБ), Кимсуки је такође идентификован по именима као што су АПТ43, АРХИПЕЛАГО, Блацк Бансхее, Емералд Слеет, Спрингтаил и Велвет Цхоллима. Њихова примарна мисија је да надгледају академско и владино особље како би прикупили вредне обавештајне податке.
Кимсуки често користи тактику пхисхинга
Група је искористила познату рањивост Мицрософт Оффице-а (ЦВЕ-2017-11882) за дистрибуцију кеилоггер-а, користећи мамце са темом посла у нападима који циљају на сектор ваздухопловства и одбране. Њихов циљ је да примене алатку за шпијунажу способну за прикупљање података и извршавање секундарног терета.
Ова позадинска врата, за која се чини да раније нису била документована, омогућавају нападачима да спроведу основно извиђање и распореде додатни терет за преузимање или даљинско управљање машином.
Тачан начин почетног приступа за ову нову активност остаје нејасан, али је познато да група користи спеар-пхисхинг и нападе друштвеног инжењеринга да покрене ланац инфекције.
ТРАНСЛАТЕКСТ Поставља се као Гоогле преводилац за жртве трикова
Почетна тачка напада је ЗИП архива која наводно говори о корејској војној историји и која садржи две датотеке: документ за обраду текста Хангул и извршни фајл.
Покретање извршне датотеке резултира преузимањем ПоверСхелл скрипте са сервера који контролише нападач, који заузврат извози информације о компромитованој жртви у ГитХуб спремиште и преузима додатни ПоверСхелл код помоћу датотеке пречице за Виндовс (ЛНК).
Истраживачи примећују да откривени докази на ГитХуб-у сугеришу да је Кимсуки намеравао да смањи изложеност и да користи малвер у кратком периоду за циљање одређених појединаца.
ТРАНСЛАТЕКСТ, који се маскира као Гоогле преводилац, укључује ЈаваСцрипт код да заобиђе безбедносне мере за услуге као што су Гоогле, Какао и Навер; сифон адреса е-поште, акредитива и колачића; снимите снимке екрана претраживача и ексфилтрирајте украдене податке.
Такође је дизајниран да преузима команде са УРЛ-а Блоггер Блогспот-а за прављење снимака екрана новоотворених картица и брисање свих колачића из претраживача, између осталог.
