TRANSLATEXT మాల్వేర్

ఉత్తర కొరియా ముప్పు సమూహం Kimsuky గూఢచార సేకరణ కోసం సున్నితమైన సమాచారాన్ని సేకరించే లక్ష్యంతో కొత్త బెదిరింపు Google Chrome పొడిగింపుతో అనుబంధించబడింది. మార్చి 2024లో పరిశోధకులచే కనుగొనబడిన, TRANSLATEXTగా పిలువబడే పొడిగింపు ఇమెయిల్ చిరునామాలు, వినియోగదారు పేర్లు, పాస్‌వర్డ్‌లు, కుక్కీలు మరియు బ్రౌజర్ స్క్రీన్‌షాట్‌లను సేకరించగల సామర్థ్యాన్ని కలిగి ఉంటుంది.

ఈ ప్రచారం దక్షిణ కొరియా విద్యాసంస్థలను, ముఖ్యంగా ఉత్తర కొరియా రాజకీయ అంశాలను పరిశోధించే వారిని లక్ష్యంగా చేసుకుంది.

కిమ్సుకీ ఒక ప్రముఖ సైబర్ క్రైమ్ గ్రూప్

కిమ్సుకీ, ఉత్తర కొరియా నుండి కనీసం 2012 నుండి క్రియాశీలంగా ఉన్న ఒక ప్రసిద్ధ హ్యాకింగ్ సమూహం, దక్షిణ కొరియా లక్ష్యాలపై సైబర్ గూఢచర్యం మరియు ఆర్థికంగా ప్రేరేపించబడిన దాడులలో పాల్గొంటుంది. లాజరస్ క్లస్టర్‌తో అనుబంధించబడిన మరియు రికనైసెన్స్ జనరల్ బ్యూరో (RGB)లో భాగమైన కిమ్‌సుకీని APT43, ఆర్కిపెలాగో, బ్లాక్ బాన్‌షీ, ఎమరాల్డ్ స్లీట్, స్ప్రింగ్‌టైల్ మరియు వెల్వెట్ చోల్లిమా వంటి పేర్లతో కూడా గుర్తించారు. విలువైన మేధస్సును సేకరించడానికి విద్యావేత్తలు మరియు ప్రభుత్వ సిబ్బందిని పర్యవేక్షించడం వారి ప్రాథమిక లక్ష్యం.

స్పియర్-ఫిషింగ్ వ్యూహాలు తరచుగా కిమ్సుకీ చేత ఉపయోగించబడతాయి

ఏరోస్పేస్ మరియు డిఫెన్స్ సెక్టార్‌లను లక్ష్యంగా చేసుకుని దాడుల్లో జాబ్-థీమ్ ఎరలను ఉపయోగించి, కీలాగర్‌ను పంపిణీ చేయడానికి గ్రూప్ తెలిసిన మైక్రోసాఫ్ట్ ఆఫీస్ వల్నరబిలిటీ (CVE-2017-11882)ని ఉపయోగించుకుంది. డేటా సేకరణ మరియు ద్వితీయ పేలోడ్ అమలు చేయగల గూఢచర్య సాధనాన్ని అమలు చేయడం వారి లక్ష్యం.

ఈ బ్యాక్‌డోర్, మునుపు డాక్యుమెంట్ చేయబడలేదు, దాడి చేసేవారిని ప్రాథమిక నిఘాను నిర్వహించడానికి మరియు యంత్రాన్ని స్వాధీనం చేసుకోవడానికి లేదా రిమోట్‌గా నియంత్రించడానికి అదనపు పేలోడ్‌లను మోహరించడానికి వీలు కల్పిస్తుంది.

ఈ కొత్త కార్యకలాపం కోసం ప్రారంభ ప్రాప్యత యొక్క ఖచ్చితమైన పద్ధతి అస్పష్టంగానే ఉంది, అయితే సమూహం సంక్రమణ గొలుసును ప్రారంభించడానికి స్పియర్-ఫిషింగ్ మరియు సోషల్ ఇంజనీరింగ్ దాడులను ఉపయోగిస్తుంది.

TRANSLATEXT ట్రిక్ బాధితులకు Google అనువాదం వలె పోజులు

దాడి యొక్క ప్రారంభ స్థానం కొరియన్ సైనిక చరిత్రకు సంబంధించినదిగా భావించే జిప్ ఆర్కైవ్ మరియు ఇందులో రెండు ఫైల్‌లు ఉన్నాయి: హంగూల్ వర్డ్ ప్రాసెసర్ డాక్యుమెంట్ మరియు ఎక్జిక్యూటబుల్.

అటాకర్-నియంత్రిత సర్వర్ నుండి పవర్‌షెల్ స్క్రిప్ట్‌ను తిరిగి పొందడంలో ఎక్జిక్యూటబుల్ ఫలితాలను ప్రారంభించడం, ఇది రాజీపడిన బాధితుడి గురించి సమాచారాన్ని GitHub రిపోజిటరీకి ఎగుమతి చేస్తుంది మరియు Windows షార్ట్‌కట్ (LNK) ఫైల్ ద్వారా అదనపు PowerShell కోడ్‌ను డౌన్‌లోడ్ చేస్తుంది.

GitHubలో కనుగొనబడిన సాక్ష్యాలు Kimsuky ఎక్స్‌పోజర్‌ను తగ్గించాలని మరియు నిర్దిష్ట వ్యక్తులను లక్ష్యంగా చేసుకోవడానికి మాల్వేర్‌ను తక్కువ వ్యవధిలో ఉపయోగించాలని భావిస్తున్నాయని పరిశోధకులు గమనించారు.

Google అనువాదం వలె మాస్క్వెరేడ్ అయిన TRANSLATEXT, Google, Kakao మరియు Naver వంటి సేవల కోసం భద్రతా చర్యలను దాటవేయడానికి JavaScript కోడ్‌ను పొందుపరిచింది; siphon ఇమెయిల్ చిరునామాలు, ఆధారాలు మరియు కుక్కీలు; బ్రౌజర్ స్క్రీన్‌షాట్‌లను క్యాప్చర్ చేయండి మరియు దొంగిలించబడిన డేటాను ఎక్స్‌ఫిల్ట్రేట్ చేయండి.

కొత్తగా తెరిచిన ట్యాబ్‌ల స్క్రీన్‌షాట్‌లను తీయడానికి మరియు బ్రౌజర్ నుండి అన్ని కుక్కీలను తొలగించడానికి బ్లాగర్ బ్లాగ్‌స్పాట్ URL నుండి ఆదేశాలను పొందేందుకు కూడా ఇది రూపొందించబడింది.