TRANSLATEXT Malware: A Silent Kimsuky Threat

A kiberbiztonság területén állandó kihívást jelent az új fenyegetések megjelenése. Az egyik ilyen közelmúltbeli fenyegetés a TRANSLATEXT rosszindulatú program, egy kifinomult eszköz, amelyet a hírhedt észak-koreai hackercsoport, a Kimsuky használ. Íme egy alapos áttekintés a TRANSLATEXT-ről, arról, hogy mit szeretne elérni, hogyan hat a felhasználókra, és hogyan védekezhet ellene.

Mi az a TRANSLATEXT rosszindulatú program?

A TRANSLATEXT egy rosszindulatú Google Chrome-bővítmény, amelyet arra terveztek, hogy beszivárogjon és kinyerjen érzékeny információkat a megcélzott eszközökről. Ez a rosszindulatú program, amelyet először 2024 márciusának elején észleltek, jóindulatú eszköznek álcázza magát, ami megnehezíti a felhasználók számára, hogy felismerjék valódi természetét. Kiterjedt lehetőségei közé tartozik az e-mail címek, felhasználónevek, jelszavak, cookie-k és a böngésző képernyőképeinek gyűjtése.

A TRANSLATEXT-t alkalmazó kampány elsősorban a dél-koreai tudományos köröket célozta meg, különösen az észak-koreai politikai ügyekben érintetteket. Ez összhangban van Kimsuky, egy észak-koreai kiberkémkedési csoport, amely legalább 2012 óta működik, történelmi működési módjával. A hírszerzési információgyűjtésről és a pénzügyi haszonszerzésről ismert Kimsuky tevékenysége gyakran dél-koreai entitások ellen irányul.

Mit akar a TRANSLATEXT rosszindulatú program?

A TRANSLATEXT kártevők elsődleges célja az intelligenciagyűjtés megkönnyítése. A beszivárgó eszközök lehetővé teszik Kimsuky számára, hogy megfigyelést végezzen, és értékes információkat gyűjtsön a tudományos és kormányzati személyzetről. Ezek az ellopott adatok érzékeny személyes adatokat, hitelesítő adatokat, valamint politikai és katonai ügyekbe való betekintést tartalmazhatnak, amelyek rendkívül érdekesek az észak-koreai hírszerzési műveletek számára.

Kimsukyt számos kiberkémkedéssel és pénzügyi indíttatású támadással hozták kapcsolatba. Az észak-koreai katonai hírszerző ügynökség, a Reconnaissance General Bureau (RGB) részei, és olyan hírhedt csoportokkal állnak kapcsolatban, mint a Lázár-klaszter. Legutóbbi tevékenységeik közé tartozik a Microsoft Office (CVE-2017-11882) ismert biztonsági résének kihasználása kulcsnaplózók és egyéb kémeszközök terjesztésére.

Mi történik, ha a felhasználók TRANSLATEXT rosszindulatú programmal találkoznak?

Ha egy eszközt TRANSLATEXT fertőz meg, a rosszindulatú program csendben működik a háttérben, és az adatokat egy távoli szerverre szivárogtatja ki. A fertőzés általában egy Hangul Word Processor dokumentumot és egy végrehajtható fájlt tartalmazó ZIP archívumból indul ki, amellyel a felhasználók lándzsás adathalászat vagy social engineering taktikával találkozhatnak. A végrehajtható fájl elindítása után lekér egy PowerShell-szkriptet a támadó által vezérelt kiszolgálóról. Ez a szkript információkat gyűjt a feltört rendszerről, és feltölti egy GitHub-tárolóba, ahonnan további rosszindulatú kódokat tölt le.

A TRANSLATEXT a Google Fordító bővítményének álcázza magát, és JavaScriptet tartalmaz, hogy megkerülje az olyan szolgáltatások biztonsági intézkedéseit, mint a Google, a Kakao és a Naver. Rögzíti a böngésző képernyőképeit, kiszívja a hitelesítő adatokat és a cookie-kat, és parancsokat kér le a Blogger Blogspot URL-jéről további rosszindulatú műveletek végrehajtásához, például képernyőképek készítése az újonnan megnyitott lapokról és a böngésző cookie-jainak törlése.

Hogyan védjük meg az eszközöket a TRANSLATEXT rosszindulatú programokkal szemben

A TRANSLATEXT és hasonló rosszindulatú programok elleni védelem sokoldalú megközelítést igényel:

1. Legyen óvatos az e-mail mellékletekkel és hivatkozásokkal : Ne nyissa meg a mellékleteket, és ne kattintson az ismeretlen vagy gyanús forrásból származó hivatkozásokra. Az adathalászat egy gyakori módszer a rosszindulatú programok, például a TRANSLATEXT terjesztésére.
2. Erős, egyedi jelszavak használata : Erős, egyedi jelszavak használata a különböző fiókokhoz csökkentheti a károkat, ha a hitelesítési adatok sérülnek. Fontolja meg a jelszókezelő használatát az összetett jelszavak nyomon követéséhez.
3. A szoftver frissítése : Rendszeresen frissítse operációs rendszerét, böngészőjét és egyéb szoftvereit, hogy kijavítsa a rosszindulatú programok által kihasználható sebezhetőségeket.
4. Jó hírű biztonsági szoftver telepítése : Használjon átfogó biztonsági szoftvert a rosszindulatú programok észlelésére és blokkolására. Győződjön meg róla, hogy rendszeresen frissíti, hogy felismerje a legújabb fenyegetéseket.
5. Többtényezős hitelesítés (MFA) engedélyezése : Az MFA egy további biztonsági réteget ad hozzá azáltal, hogy egy további ellenőrzési formát ír elő, így még akkor is megnehezíti a hozzáférést, ha a támadók rendelkeznek az Ön jelszavával.
6. Oktatás és képzés : A tudatosság kulcsfontosságú. Tanulja meg magát és másokat a kibertámadók által alkalmazott taktikákról, például az adathalászatról és a közösségi manipulációról, hogy csökkentse az ilyen sémák áldozatául esését.

Azáltal, hogy tájékozottak és éberek maradnak, a felhasználók megvédhetik magukat a TRANSLATEXT rosszindulatú szoftverek és más olyan kiberfenyegetések által jelentett csendes, mégis jelentős fenyegetésektől, amelyeket olyan csoportok szerveznek, mint a Kimsuky.