TRANSLATEXT மால்வேர்
வட கொரிய அச்சுறுத்தல் குழுவான கிம்சுகி, உளவுத்துறை சேகரிப்புக்கான முக்கியமான தகவல்களை சேகரிப்பதை நோக்கமாகக் கொண்ட புதிய அச்சுறுத்தும் Google Chrome நீட்டிப்புடன் தொடர்புடையது. மார்ச் 2024 இல் ஆராய்ச்சியாளர்களால் கண்டுபிடிக்கப்பட்டது, TRANSLATEXT என பெயரிடப்பட்ட நீட்டிப்பு, மின்னஞ்சல் முகவரிகள், பயனர்பெயர்கள், கடவுச்சொற்கள், குக்கீகள் மற்றும் உலாவி திரைக்காட்சிகளை சேகரிக்கும் திறன் கொண்டது.
இந்த பிரச்சாரம் தென் கொரிய கல்வி நிறுவனங்களை குறிவைத்துள்ளது, குறிப்பாக வட கொரிய அரசியல் பிரச்சினைகளை ஆய்வு செய்யும் நிறுவனங்கள்.
பொருளடக்கம்
கிம்சுகி ஒரு முக்கிய சைபர் கிரைம் குழு
கிம்சுகி, வட கொரியாவில் இருந்து குறைந்தது 2012 இல் இருந்து செயலில் உள்ள ஒரு நன்கு அறியப்பட்ட ஹேக்கிங் குழு, தென் கொரிய இலக்குகளுக்கு எதிராக இணைய உளவு மற்றும் நிதி ரீதியாக தூண்டப்பட்ட தாக்குதல்களில் ஈடுபட்டுள்ளது. லாசரஸ் கிளஸ்டர் மற்றும் உளவுத்துறை பொது பணியகத்தின் (RGB) பகுதியுடன் தொடர்புடைய கிம்சுகி, APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail மற்றும் Velvet Chollima போன்ற பெயர்களாலும் அடையாளம் காணப்படுகிறார். மதிப்புமிக்க உளவுத்துறையை சேகரிக்க கல்வி மற்றும் அரசாங்க பணியாளர்களை கண்காணிப்பதே அவர்களின் முதன்மை நோக்கம்.
ஸ்பியர்-ஃபிஷிங் தந்திரங்கள் பெரும்பாலும் கிம்சுகியால் பயன்படுத்தப்படுகின்றன
விண்வெளி மற்றும் பாதுகாப்புத் துறைகளை இலக்காகக் கொண்ட தாக்குதல்களில் வேலை-கருப்பொருள் கவர்ச்சிகளைப் பயன்படுத்தி, கீலாக்கரை விநியோகிக்க, மைக்ரோசாஃப்ட் ஆஃபீஸ் பாதிப்பை (CVE-2017-11882) குழு பயன்படுத்தியுள்ளது. தரவு சேகரிப்பு மற்றும் இரண்டாம் நிலை பேலோட் செயல்படுத்தும் திறன் கொண்ட உளவு கருவியை பயன்படுத்துவதே அவர்களின் குறிக்கோள்.
இந்த பின்கதவு, முன்னர் ஆவணப்படுத்தப்படாததாகத் தோன்றுகிறது, தாக்குபவர்கள் அடிப்படை உளவுத்துறையை நடத்துவதற்கும், இயந்திரத்தை எடுத்துக்கொள்வதற்கு அல்லது தொலைவிலிருந்து கட்டுப்படுத்துவதற்கு கூடுதல் பேலோடுகளைப் பயன்படுத்துவதற்கும் உதவுகிறது.
இந்த புதிய செயல்பாட்டிற்கான ஆரம்ப அணுகலின் சரியான முறை தெளிவாக இல்லை, ஆனால் குழு ஸ்பியர்-ஃபிஷிங் மற்றும் சமூக பொறியியல் தாக்குதல்களைப் பயன்படுத்தி தொற்று சங்கிலியைத் தொடங்குவதாக அறியப்படுகிறது.
TRANSLATEXT போஸ்கள் தந்திரத்தால் பாதிக்கப்பட்டவர்களுக்கு Google மொழிபெயர்ப்பாகும்
தாக்குதலின் தொடக்கப் புள்ளி ஒரு ஜிப் காப்பகமாகும், இது கொரிய இராணுவ வரலாற்றைப் பற்றியது மற்றும் இரண்டு கோப்புகளைக் கொண்டுள்ளது: ஒரு ஹங்குல் வேர்ட் செயலி ஆவணம் மற்றும் இயங்கக்கூடியது.
தாக்குபவர்-கட்டுப்படுத்தப்பட்ட சேவையகத்திலிருந்து பவர்ஷெல் ஸ்கிரிப்டை மீட்டெடுப்பதில் இயங்கக்கூடிய முடிவுகளைத் தொடங்குதல், இது சமரசம் செய்யப்பட்ட பாதிக்கப்பட்டவரைப் பற்றிய தகவல்களை GitHub களஞ்சியத்திற்கு ஏற்றுமதி செய்கிறது மற்றும் Windows ஷார்ட்கட் (LNK) கோப்பு மூலம் கூடுதல் பவர்ஷெல் குறியீட்டைப் பதிவிறக்குகிறது.
GitHub இல் கண்டுபிடிக்கப்பட்ட ஆதாரங்கள் Kimsuky வெளிப்பாட்டைக் குறைத்து, குறிப்பிட்ட நபர்களை குறிவைக்க குறுகிய காலத்திற்கு தீம்பொருளைப் பயன்படுத்துவதை நோக்கமாகக் கொண்டதாக ஆராய்ச்சியாளர்கள் குறிப்பிடுகின்றனர்.
கூகுள் மொழிபெயர்ப்பாக மாறுவேடமிடும் TRANSLATEXT, Google, Kakao மற்றும் Naver போன்ற சேவைகளுக்கான பாதுகாப்பு நடவடிக்கைகளைத் தவிர்க்க ஜாவாஸ்கிரிப்ட் குறியீட்டை உள்ளடக்கியது; siphon மின்னஞ்சல் முகவரிகள், சான்றுகள் மற்றும் குக்கீகள்; உலாவி ஸ்கிரீன் ஷாட்களைப் பிடிக்கவும் மற்றும் திருடப்பட்ட தரவை வெளியேற்றவும்.
புதிதாகத் திறக்கப்பட்ட தாவல்களின் ஸ்கிரீன்ஷாட்களை எடுக்கவும் மற்றவற்றுடன் உலாவியில் இருந்து அனைத்து குக்கீகளையும் நீக்கவும் பிளாகர் பிளாக்ஸ்பாட் URL இலிருந்து கட்டளைகளைப் பெறவும் இது வடிவமைக்கப்பட்டுள்ளது.
