TRANSLATEXT 恶意软件

朝鲜威胁组织 Kimsuky 与一款新的威胁性 Google Chrome 扩展程序有关，该扩展程序旨在收集敏感信息以进行情报收集。研究人员于 2024 年 3 月发现了这款名为 TRANSLATEXT 的扩展程序，它能够收集电子邮件地址、用户名、密码、cookie 和浏览器屏幕截图。

此次活动的目标是韩国学术机构，特别是研究朝鲜政治问题的机构。

Kimsuky 是一个著名的网络犯罪集团

Kimsuky 是朝鲜一个著名的黑客组织，自 2012 年以来一直活跃，从事网络间谍活动和针对韩国目标的以经济为目的的攻击。Kimsuky 与 Lazarus 集群有关联，是侦察总局 (RGB) 的一部分，也被称为 APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、Springtail 和 Velvet Chollima。他们的主要任务是监视学术人员和政府人员以收集有价值的情报。

Kimsuky 经常利用的鱼叉式网络钓鱼策略

该组织利用已知的 Microsoft Office 漏洞 (CVE-2017-11882) 分发键盘记录器，并在针对航空航天和国防部门的攻击中使用以工作为主题的诱饵。他们的目标是部署能够收集数据和执行二次有效载荷的间谍工具。

这个后门以前似乎没有被记录过，它使攻击者能够进行基本的侦察，并部署额外的有效载荷来接管或远程控制机器。

该新活动的初始访问的具体方法仍不清楚，但已知该组织使用鱼叉式网络钓鱼和社会工程攻击来启动感染链。

TRANSLATEXT 冒充谷歌翻译欺骗受害者

攻击的起点是一个据称涉及韩国军事历史的 ZIP 档案，其中包含两个文件：一个 Hangul 文字处理器文档和一个可执行文件。

启动可执行文件会导致从攻击者控制的服务器检索 PowerShell 脚本，进而将有关受感染受害者的信息导出到 GitHub 存储库，并通过 Windows 快捷方式 (LNK) 文件下载其他 PowerShell 代码。

研究人员指出，在 GitHub 上发现的证据表明，Kimsuky 意图尽量减少暴露，并在短时间内使用恶意软件来针对特定个人。

TRANSLATEXT 伪装成 Google 翻译，它结合 JavaScript 代码来绕过 Google、Kakao 和 Naver 等服务的安全措施；窃取电子邮件地址、凭证和 cookie；捕获浏览器截图并窃取数据。

它还可以从 Blogger Blogspot URL 获取命令，以截取新打开的标签的屏幕截图以及从浏览器中删除所有 cookie 等。