翻譯惡意軟體

北韓威脅組織 Kimsuky 與一個新的威脅性 Google Chrome 擴充功能有關聯，該擴充功能旨在收集敏感資訊以進行情報收集。研究人員於 2024 年 3 月發現了該擴充程序，稱為 TRANSLATEXT，能夠收集電子郵件地址、使用者名稱、密碼、cookie 和瀏覽器螢幕截圖。

該活動針對的是韓國學術機構，特別是那些研究北韓政治問題的機構。

Kimsuky 是一個著名的網路犯罪集團

Kimsuky 是北韓著名的駭客組織，至少自 2012 年以來一直活躍，從事針對韓國目標的網路間諜活動和出於經濟動機的攻擊。 Kimsuky 與拉撒路星團相關，也是偵察總局 (RGB) 的一部分，也被稱為 APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、Springtail 和 Velvet Chollima 等。他們的主要任務是監視學術和政府人員以收集有價值的情報。

Kimsuky 經常利用的魚叉式網路釣魚策略

該組織利用已知的 Microsoft Office 漏洞 (CVE-2017-11882) 分發鍵盤記錄器，在針對航空航天和國防部門的攻擊中使用以工作為主題的誘餌。他們的目標是部署能夠進行資料收集和輔助有效負載執行的間諜工具。

這個後門以前似乎沒有記錄，它使攻擊者能夠進行基本的偵察並部署額外的有效負載來接管或遠端控制機器。

初步訪問這項新活動的確切方法尚不清楚，但已知該組織使用魚叉式網路釣魚和社會工程攻擊來啟動感染鏈。

TRANSLATEXT 冒充谷歌翻譯來欺騙受害者

攻擊的起點是一個 ZIP 存檔，該存檔聲稱與韓國軍事歷史有關，其中包含兩個文件：朝鮮文文字處理器文件和可執行文件。

啟動可執行檔會導致從攻擊者控制的伺服器擷取 PowerShell 腳本，進而將有關受感染受害者的資訊匯出到 GitHub 儲存庫，並透過 Windows 捷徑 (LNK) 檔案下載其他 PowerShell 程式碼。

研究人員指出，在 GitHub 上發現的證據表明 Kimsuky 打算最大限度地減少暴露程度，並在短時間內使用惡意軟體來針對特定個人。

TRANSLATEXT 偽裝成 Google Translate，包含 JavaScript 程式碼以繞過 Google、Kakao 和 Naver 等服務的安全措施；虹吸電子郵件地址、憑證和 cookie；擷取瀏覽器螢幕截圖並竊取被盜資料。

它還設計用於從 Blogger Blogspot URL 獲取命令，以截取新打開的選項卡的螢幕截圖並刪除瀏覽器中的所有 cookie 等。