TRANSLATEXT Malware: A Silent Kimsuky Threat

Στην κυβερνοασφάλεια, η εμφάνιση νέων απειλών είναι μια συνεχής πρόκληση. Μια τέτοια πρόσφατη απειλή είναι το κακόβουλο λογισμικό TRANSLATEXT, ένα εξελιγμένο εργαλείο που χρησιμοποιείται από τη διαβόητη βορειοκορεατική ομάδα hacking Kimsuky . Ακολουθεί μια εις βάθος ματιά στο TRANSLATEXT, τι στοχεύει να επιτύχει, πώς επηρεάζει τους χρήστες και τρόπους προστασίας από αυτό.

Τι είναι το κακόβουλο λογισμικό TRANSLATEXT;

Το TRANSLATEXT είναι μια κακόβουλη επέκταση του Google Chrome που έχει σχεδιαστεί για να διεισδύει και να εξάγει ευαίσθητες πληροφορίες από στοχευμένες συσκευές. Παρατηρήθηκε για πρώτη φορά στις αρχές Μαρτίου 2024, αυτό το κακόβουλο λογισμικό μεταμφιέζεται σε ένα καλοήθη εργαλείο, καθιστώντας δύσκολο για τους χρήστες να εντοπίσουν την πραγματική του φύση. Οι εκτεταμένες δυνατότητές του περιλαμβάνουν τη δυνατότητα συλλογής διευθύνσεων email, ονομάτων χρήστη, κωδικών πρόσβασης, cookies και στιγμιότυπων οθόνης του προγράμματος περιήγησης.

Η καμπάνια που χρησιμοποιεί το TRANSLATEXT έχει στοχεύσει πρωτίστως τον ακαδημαϊκό χώρο της Νότιας Κορέας, ειδικά αυτούς που εμπλέκονται στις πολιτικές υποθέσεις της Βόρειας Κορέας. Αυτό ευθυγραμμίζεται με τον ιστορικό τρόπο λειτουργίας του Kimsuky, μιας βορειοκορεατικής ομάδας κυβερνοκατασκοπείας που δραστηριοποιείται τουλάχιστον από το 2012. Γνωστή για την εστίασή της στη συλλογή πληροφοριών και οικονομικών κερδών, οι δραστηριότητες της Kimsuky συχνά στρέφονται εναντίον νοτιοκορεατικών οντοτήτων.

Τι θέλει το κακόβουλο λογισμικό TRANSLATEXT;

Ο πρωταρχικός στόχος του κακόβουλου λογισμικού TRANSLATEXT είναι να διευκολύνει τη συλλογή πληροφοριών. Οι συσκευές διείσδυσης επιτρέπουν στον Kimsuky να πραγματοποιεί παρακολούθηση και να συλλέγει πολύτιμες πληροφορίες για το ακαδημαϊκό και κυβερνητικό προσωπικό. Αυτά τα κλεμμένα δεδομένα μπορεί να περιλαμβάνουν ευαίσθητες προσωπικές πληροφορίες, διαπιστευτήρια και πληροφορίες για πολιτικές και στρατιωτικές υποθέσεις, που είναι εξαιρετικά ενδιαφέροντα για τις επιχειρήσεις πληροφοριών της Βόρειας Κορέας.

Ο Kimsuky έχει συνδεθεί με διάφορες επιθέσεις κυβερνοκατασκοπείας και οικονομικά κίνητρα. Αποτελούν μέρος του Γενικού Γραφείου Αναγνώρισης (RGB), μιας στρατιωτικής υπηρεσίας πληροφοριών της Βόρειας Κορέας, και συνδέονται με διαβόητες ομάδες όπως το σύμπλεγμα Lazarus. Οι πρόσφατες δραστηριότητές τους περιλαμβάνουν την εκμετάλλευση μιας γνωστής ευπάθειας στο Microsoft Office (CVE-2017-11882) για τη διανομή keylogger και άλλων εργαλείων κατασκοπείας.

Τι συμβαίνει όταν οι χρήστες αντιμετωπίζουν κακόβουλο λογισμικό TRANSLATEXT;

Όταν μια συσκευή έχει μολυνθεί με TRANSLATEXT, το κακόβουλο λογισμικό λειτουργεί αθόρυβα στο παρασκήνιο, διοχετεύοντας δεδομένα σε έναν απομακρυσμένο διακομιστή. Η μόλυνση ξεκινά συνήθως με ένα αρχείο ZIP που περιέχει ένα έγγραφο του επεξεργαστή κειμένου Hangul και ένα εκτελέσιμο αρχείο, το οποίο οι χρήστες ενδέχεται να αντιμετωπίσουν μέσω ταχτικών ψαρέματος (spear-phishing) ή κοινωνικής μηχανικής. Μόλις εκκινηθεί το εκτελέσιμο αρχείο, ανακτά ένα σενάριο PowerShell από έναν διακομιστή που ελέγχεται από εισβολέα. Αυτό το σενάριο συλλέγει πληροφορίες σχετικά με το παραβιασμένο σύστημα και τις ανεβάζει σε ένα αποθετήριο GitHub, όπου γίνεται λήψη επιπλέον κακόβουλου κώδικα.

Το TRANSLATEXT μεταμφιέζεται ως επέκταση Μετάφρασης Google και ενσωματώνει JavaScript για να παρακάμψει τα μέτρα ασφαλείας υπηρεσιών όπως το Google, το Kakao και το Naver. Καταγράφει στιγμιότυπα οθόνης του προγράμματος περιήγησης, αφαιρεί διαπιστευτήρια και cookie και ανακτά εντολές από μια διεύθυνση URL Blogspot του Blogger για να εκτελέσει περαιτέρω κακόβουλες ενέργειες, όπως λήψη στιγμιότυπων οθόνης από καρτέλες που ανοίγουν πρόσφατα και διαγραφή cookie του προγράμματος περιήγησης.

Πώς να προστατέψετε τις συσκευές από κακόβουλο λογισμικό TRANSLATEXT

Η προστασία από το TRANSLATEXT και παρόμοιο κακόβουλο λογισμικό απαιτεί μια πολύπλευρη προσέγγιση:

1. Να είστε προσεκτικοί με τα συνημμένα email και τους συνδέσμους : Μην ανοίγετε συνημμένα και μην κάνετε κλικ σε συνδέσμους από άγνωστες ή ύποπτες πηγές. Το Spear-phishing είναι μια κοινή μέθοδος για τη διάδοση κακόβουλου λογισμικού όπως το TRANSLATEXT.
2. Χρησιμοποιήστε ισχυρούς, μοναδικούς κωδικούς πρόσβασης : Η χρήση ισχυρών, μοναδικών κωδικών πρόσβασης για διαφορετικούς λογαριασμούς μπορεί να περιορίσει τη ζημιά σε περίπτωση παραβίασης των διαπιστευτηρίων. Σκεφτείτε να χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης για να παρακολουθείτε σύνθετους κωδικούς πρόσβασης.
3. Διατήρηση ενημερωμένου λογισμικού : Ενημερώνετε τακτικά το λειτουργικό σας σύστημα, το πρόγραμμα περιήγησης και άλλο λογισμικό για να επιδιορθώσετε ευπάθειες που θα μπορούσαν να εκμεταλλευτούν κακόβουλο λογισμικό.
4. Εγκατάσταση αξιόπιστου λογισμικού ασφαλείας : Χρησιμοποιήστε ολοκληρωμένο λογισμικό ασφαλείας για τον εντοπισμό και τον αποκλεισμό κακόβουλου λογισμικού. Βεβαιωθείτε ότι ενημερώνεται τακτικά για να αναγνωρίζει τις πιο πρόσφατες απειλές.
5. Ενεργοποίηση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) : Το MFA προσθέτει ένα άλλο επίπεδο ασφαλείας απαιτώντας μια πρόσθετη μορφή επαλήθευσης, καθιστώντας έτσι δυσκολότερη την πρόσβαση ακόμα και αν οι εισβολείς έχουν τον κωδικό πρόσβασής σας.
6. Εκπαιδεύστε και εκπαιδεύστε : Η ευαισθητοποίηση είναι το κλειδί. Εκπαιδεύστε τον εαυτό σας και τους άλλους σχετικά με τις τακτικές που χρησιμοποιούν οι επιτιθέμενοι στον κυβερνοχώρο, όπως το phishing και η κοινωνική μηχανική, για να μειώσετε τον κίνδυνο να πέσετε θύματα αυτών των μεθόδων.

Παραμένοντας ενημερωμένοι και σε εγρήγορση, οι χρήστες μπορούν να προστατευτούν από τη σιωπηλή αλλά σημαντική απειλή που θέτει το κακόβουλο λογισμικό TRANSLATEXT και άλλες απειλές στον κυβερνοχώρο που ενορχηστρώνονται από ομάδες όπως η Kimsuky.