TRANSLATEXT Phần mềm độc hại

Nhóm đe dọa Triều Tiên Kimsuky đã được liên kết với một tiện ích mở rộng đe dọa mới của Google Chrome nhằm mục đích thu thập thông tin nhạy cảm để thu thập thông tin tình báo. Được các nhà nghiên cứu phát hiện vào tháng 3 năm 2024, tiện ích mở rộng có tên là TRANSLATEXT, có khả năng thu thập địa chỉ email, tên người dùng, mật khẩu, cookie và ảnh chụp màn hình trình duyệt.

Chiến dịch này đã nhắm vào các tổ chức học thuật của Hàn Quốc, đặc biệt là những tổ chức nghiên cứu các vấn đề chính trị của Triều Tiên.

Kimsuky là một nhóm tội phạm mạng nổi bật

Kimsuky, một nhóm hack nổi tiếng đến từ Triều Tiên hoạt động ít nhất từ năm 2012, tham gia vào các hoạt động gián điệp mạng và các cuộc tấn công có động cơ tài chính nhằm vào các mục tiêu của Hàn Quốc. Được liên kết với cụm Lazarus và một phần của Tổng cục Trinh sát (RGB), Kimsuky còn được xác định bằng những cái tên như APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail và Velvet Chollima. Nhiệm vụ chính của họ là giám sát các nhân viên học thuật và chính phủ để thu thập thông tin tình báo có giá trị.

Chiến thuật lừa đảo trực tuyến thường được Kimsuky khai thác

Nhóm này đã khai thác lỗ hổng Microsoft Office đã biết (CVE-2017-11882) để phát tán keylogger, sử dụng mồi nhử theo chủ đề công việc trong các cuộc tấn công nhắm vào lĩnh vực hàng không vũ trụ và quốc phòng. Mục tiêu của họ là triển khai một công cụ gián điệp có khả năng thu thập dữ liệu và thực thi tải trọng thứ cấp.

Cửa hậu này, dường như chưa được ghi lại trước đây, cho phép kẻ tấn công tiến hành trinh sát cơ bản và triển khai các tải trọng bổ sung để chiếm quyền kiểm soát hoặc điều khiển máy từ xa.

Phương pháp truy cập ban đầu chính xác cho hoạt động mới này vẫn chưa rõ ràng, nhưng nhóm này được biết là sử dụng các cuộc tấn công lừa đảo trực tuyến và kỹ thuật xã hội để bắt đầu chuỗi lây nhiễm.

TRANSLATEXT giả làm Google Dịch để lừa nạn nhân

Điểm bắt đầu của cuộc tấn công là một kho lưu trữ ZIP có nội dung về lịch sử quân sự Hàn Quốc và chứa hai tệp: Tài liệu xử lý văn bản Hangul và một tệp thực thi.

Việc khởi chạy các kết quả thực thi sẽ dẫn đến việc truy xuất tập lệnh PowerShell từ máy chủ do kẻ tấn công kiểm soát, sau đó xuất thông tin về nạn nhân bị xâm nhập sang kho lưu trữ GitHub và tải xuống mã PowerShell bổ sung bằng tệp lối tắt Windows (LNK).

Các nhà nghiên cứu lưu ý rằng bằng chứng được phát hiện trên GitHub cho thấy Kimsuky có ý định giảm thiểu khả năng tiếp xúc và sử dụng phần mềm độc hại trong một thời gian ngắn để nhắm mục tiêu vào các cá nhân cụ thể.

TRANSLATEXT, giả dạng Google Dịch, kết hợp mã JavaScript để vượt qua các biện pháp bảo mật cho các dịch vụ như Google, Kakao và Naver; hút địa chỉ email, thông tin xác thực và cookie; chụp ảnh màn hình trình duyệt và lọc dữ liệu bị đánh cắp.

Nó cũng được thiết kế để tìm nạp lệnh từ URL Blogger Blogspot nhằm chụp ảnh màn hình của các tab mới mở và xóa tất cả cookie khỏi trình duyệt, cùng nhiều cookie khác.