Новости TRANSLATEXT: когда Chrome превращается в оружие массового шпионажа

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Как переводчику-самозванцу удалось проникнуть за кулисы глобальной сети?


6wo0stnt03d9kelydk3ras3awb66qly3.jpg


Северокорейская хакерская группа Kimsuky недавно запустила новое вредоносное расширение для Google Chrome под названием TRANSLATEXT, предназначенное для кражи конфиденциальной информации. Об этом Для просмотра ссылки Войди или Зарегистрируйся специалисты из компании Zscaler , которые обнаружили зловредную активность в начале марта 2024 года.

Расширение TRANSLATEXT способно собирать адреса электронной почты, логины, пароли, куки и делать скриншоты браузера. Основной целью атаки стали представители академического сообщества Южной Кореи, занимающиеся вопросами северокорейской политики.

Группировка Kimsuky, активная с 2012 года, известна своими кибершпионскими и финансово мотивированными атаками против южнокорейских организаций. Она является частью Разведывательного общего бюро (RGB) и тесно связана с другой известной киберпреступной группой, действующей в интересах КНДР — Lazarus. Kimsuky также известна под именами APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail и Velvet Chollima.

В последние недели Kimsuky активно использовала уязвимость в Microsoft Office Для просмотра ссылки Войди или Зарегистрируйся для распространения кейлоггера и приманки с предложениями о работе в атаках на аэрокосмический и оборонный секторы, направленных на внедрение шпионских инструментов.

Компания CyberArmor Для просмотра ссылки Войди или Зарегистрируйся что Kimsuky разработала новый бэкдор, позволяющий проводить базовую разведку и загружать дополнительные полезные нагрузки для удалённого контроля над машиной. Кампания получила название Niki.

Точный способ начального доступа в ходе новой активности пока не установлен. Однако известно, что группа использует фишинговые методы и социальную инженерию для активации цепочки заражения. Атака обычно начинается с ZIP-архива, якобы связанного с корейской армией, содержащего документ и исполняемый файл.

Запуск исполняемого файла приводит к загрузке PowerShell-скрипта с сервера злоумышленников, который затем отправляет информацию о жертве на репозиторий GitHub и загружает дополнительный PowerShell-код с помощью ярлыка Windows (LNK).

Zscaler обнаружила, что аккаунт хакеров на GitHub был создан 13 февраля 2024 года и кратковременно размещал расширение TRANSLATEXT под названием «GoogleTranslate.crx». Однако файлы были удалены самими злоумышленниками уже на следующий день, что указывает на намерение Kimsuky минимизировать воздействие и использовать вредоносное ПО кратковременно для атаки на конкретных лиц.

Расширение TRANSLATEXT, маскирующееся под Google Translate, включает в себя JavaScript-код для кражи данных и обхода мер безопасности таких сервисов, как Google, Kakao и Naver. Расширение также способно получать команды с Blogger Blogspot для создания скриншотов новых вкладок и удаления всех куки-файлов браузера.

В конечном итоге, основная цель группы Kimsuky — проведение слежки за академическими и правительственными деятелями для сбора информации, полезной для внешней разведки КНДР.
 
Источник новости
www.securitylab.ru

Похожие темы