Северокорейская хакерская группа Kimsuky недавно запустила новое вредоносное расширение для Google Chrome под названием TRANSLATEXT, предназначенное для кражи конфиденциальной информации. Об этом сообщили специалисты из компании Zscaler, которые обнаружили зловредную активность в начале марта 2024 года.
Расширение TRANSLATEXT способно собирать адреса электронной почты, логины, пароли, куки и делать скриншоты браузера. Основной целью атаки стали представители академического сообщества Южной Кореи, занимающиеся вопросами северокорейской политики.
Группировка Kimsuky, активная с 2012 года, известна своими кибершпионскими и финансово мотивированными атаками против южнокорейских организаций. Она является частью Разведывательного общего бюро (RGB) и тесно связана с другой известной киберпреступной группой, действующей в интересах КНДР – Lazarus. Kimsuky также известна под именами APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail и Velvet Chollima.
В последние недели Kimsuky активно использовала уязвимость в Microsoft Office (CVE-2017-11882)для распространения кейлоггера и приманки с предложениями о работе в атаках на аэрокосмический и оборонный секторы, направленных на внедрение шпионских инструментов.
Компания CyberArmor сообщила в конце июня, что Kimsuky разработала новый бэкдор, позволяющий проводить базовую разведку и загружать дополнительные полезные нагрузки для удалённого контроля над машиной. Кампания получила название Niki.
Точный способ начального доступа в ходе новой активности пока не установлен. Однако известно, что группа использует фишинговые методы и социальную инженерию для активации цепочки заражения. Атака обычно начинается с ZIP-архива, якобы связанного с корейской армией, содержащего документ и исполняемый файл.
Запуск исполняемого файла приводит к загрузке PowerShell-скрипта с сервера злоумышленников, который затем отправляет информацию о жертве на репозиторий GitHub и загружает дополнительный PowerShell-код с помощью ярлыка Windows (LNK).
Zscaler обнаружила, что аккаунт хакеров на GitHub был создан 13 февраля 2024 года и кратковременно размещал расширение TRANSLATEXT под названием “GoogleTranslate.crx”. Однако файлы были удалены самими злоумышленниками уже на следующий день, что указывает на намерение Kimsuky минимизировать воздействие и использовать вредоносное ПО кратковременно для атаки на конкретных лиц.
Расширение TRANSLATEXT, маскирующееся под Google Translate, включает в себя JavaScript-код для кражи данных и обхода мер безопасности таких сервисов, как Google, Kakao и Naver. Расширение также способно получать команды с Blogger Blogspot для создания скриншотов новых вкладок и удаления всех куки-файлов браузера.
В конечном итоге, основная цель группы Kimsuky – проведение слежки за академическими и правительственными деятелями для сбора информации, полезной для внешней разведки КНДР.