TRANSLATEXT Malware
Die nordkoreanische Bedrohungsgruppe Kimsuky wird mit einer neuen bedrohlichen Google Chrome-Erweiterung in Verbindung gebracht, die darauf abzielt, vertrauliche Informationen für die Informationsbeschaffung zu sammeln. Die im März 2024 von Forschern entdeckte Erweiterung mit dem Namen TRANSLATEXT kann E-Mail-Adressen, Benutzernamen, Passwörter, Cookies und Browser-Screenshots sammeln.
Diese Kampagne zielte auf südkoreanische akademische Einrichtungen ab, insbesondere auf solche, die sich mit nordkoreanischen politischen Themen befassen.
Inhaltsverzeichnis
Kimsuky ist eine bekannte Cybercrime-Gruppe
Kimsuky, eine bekannte Hackergruppe aus Nordkorea, die seit mindestens 2012 aktiv ist, betreibt Cyberspionage und finanziell motivierte Angriffe auf südkoreanische Ziele. Kimsuky ist mit dem Lazarus-Cluster verbunden und Teil des Reconnaissance General Bureau (RGB). Sie ist auch unter Namen wie APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail und Velvet Chollima bekannt. Ihre Hauptaufgabe besteht darin, akademisches und staatliches Personal zu überwachen, um wertvolle Informationen zu sammeln.
Spear-Phishing-Taktiken, die häufig von Kimsuky ausgenutzt werden
Die Gruppe hat eine bekannte Sicherheitslücke in Microsoft Office (CVE-2017-11882) ausgenutzt, um einen Keylogger zu verbreiten. Dabei werden berufsbezogene Köder für Angriffe verwendet, die auf die Luft- und Raumfahrtbranche sowie den Verteidigungssektor abzielen. Ihr Ziel ist es, ein Spionagetool bereitzustellen, das Daten sammeln und sekundäre Nutzlasten ausführen kann.
Diese offenbar bislang nicht dokumentierte Hintertür ermöglicht es Angreifern, grundlegende Aufklärungsarbeiten durchzuführen und zusätzliche Payloads bereitzustellen, um die Maschine zu übernehmen oder aus der Ferne zu steuern.
Die genaue Methode des ersten Zugriffs auf diese neue Aktivität ist noch unklar, aber es ist bekannt, dass die Gruppe Spear-Phishing- und Social-Engineering-Angriffe verwendet, um die Infektionskette in Gang zu setzen.
TRANSLATEXT gibt sich als Google Translate aus, um Opfer auszutricksen
Ausgangspunkt des Angriffs ist ein ZIP-Archiv, das angeblich etwas zur koreanischen Militärgeschichte enthält und zwei Dateien enthält: ein Hangul-Textverarbeitungsdokument und eine ausführbare Datei.
Durch das Starten der ausführbaren Datei wird ein PowerShell-Skript von einem vom Angreifer kontrollierten Server abgerufen, das wiederum Informationen über das kompromittierte Opfer in ein GitHub-Repository exportiert und zusätzlichen PowerShell-Code über eine Windows-Verknüpfungsdatei (LNK) herunterlädt.
Die Forscher weisen darauf hin, dass auf GitHub gefundene Beweise darauf schließen lassen, dass Kimsuky die Gefährdung minimieren und die Schadsoftware für einen kurzen Zeitraum einsetzen wollte, um gezielt bestimmte Personen anzugreifen.
TRANSLATEXT, das sich als Google Translate ausgibt, enthält JavaScript-Code, um Sicherheitsmaßnahmen für Dienste wie Google, Kakao und Naver zu umgehen, E-Mail-Adressen, Anmeldeinformationen und Cookies abzugreifen, Screenshots des Browsers zu machen und gestohlene Daten abzuleiten.
Es ist außerdem dafür ausgelegt, Befehle von einer Blogger-Blogspot-URL abzurufen, um unter anderem Screenshots von neu geöffneten Tabs zu erstellen und alle Cookies aus dem Browser zu löschen.
