TRANSLATEXT Kenkėjiška programa: tylioji „Kimsuky“ grėsmė

Kibernetinio saugumo srityje naujų grėsmių atsiradimas yra nuolatinis iššūkis. Viena iš tokių pastarojo meto grėsmių yra kenkėjiška programa TRANSLATEXT – sudėtingas įrankis, kurį naudoja liūdnai pagarsėjusi Šiaurės Korėjos įsilaužėlių grupė Kimsuky . Čia nuodugniai apžvelgiama TRANSLATEXT, ko ji siekia, kaip ji veikia vartotojus ir kaip apsisaugoti nuo jo.

Kas yra TRANSLATEXT kenkėjiška programa?

TRANSLATEXT yra kenkėjiškas „Google Chrome“ plėtinys, skirtas įsiskverbti ir išgauti slaptą informaciją iš tikslinių įrenginių. Pirmą kartą pastebėta 2024 m. kovo pradžioje, ši kenkėjiška programa užmaskuojama kaip nepiktybinis įrankis, todėl vartotojams sunku aptikti tikrąją jos prigimtį. Jo plačios galimybės apima galimybę rinkti el. pašto adresus, naudotojų vardus, slaptažodžius, slapukus ir naršyklės ekrano kopijas.

Kampanija, kurioje dirba TRANSLATEXT, pirmiausia buvo skirta Pietų Korėjos akademinei bendruomenei, ypač tiems, kurie yra susiję su Šiaurės Korėjos politiniais reikalais. Tai atitinka istorinį Kimsuky, Šiaurės Korėjos kibernetinio šnipinėjimo grupės, veikiančios mažiausiai nuo 2012 m., veikimo būdą. Žinomi dėl savo dėmesio rinkimui žvalgybos ir finansinės naudos, Kimsuky veikla dažnai nukreipta prieš Pietų Korėjos subjektus.

Ko nori TRANSLATEXT kenkėjiška programa?

Pagrindinis TRANSLATEXT kenkėjiškų programų tikslas yra palengvinti žvalgybos duomenų rinkimą. Įsiskverbę prietaisai leidžia Kimsuky stebėti ir rinkti vertingą informaciją apie akademinį ir vyriausybės personalą. Šie pavogti duomenys gali apimti neskelbtiną asmeninę informaciją, įgaliojimus ir įžvalgas apie politinius ir karinius reikalus, kurie labai įdomūs Šiaurės Korėjos žvalgybos operacijoms.

Kimsuky buvo siejamas su įvairiomis kibernetinio šnipinėjimo ir finansiškai motyvuotomis atakomis. Jie yra Šiaurės Korėjos karinės žvalgybos agentūros „Reconnaissance General Bureau“ (RGB) dalis ir yra siejami su žinomomis grupuotėmis, tokiomis kaip „Lazarus“ spiečius. Pastaroji jų veikla apima žinomo Microsoft Office pažeidžiamumo (CVE-2017-11882) išnaudojimą, kad platintų klavišų kaupiklius ir kitus šnipinėjimo įrankius.

Kas nutinka, kai vartotojai susiduria su TRANSLATEXT kenkėjiška programa?

Kai įrenginys užkrėstas TRANSLATEXT, kenkėjiška programa tyliai veikia fone, išfiltruodama duomenis į nuotolinį serverį. Infekcija paprastai prasideda nuo ZIP archyvo, kuriame yra Hangul Word Processor dokumentas ir vykdomasis failas, su kuriais vartotojai gali susidurti naudodamiesi sukčiavimo ar socialinės inžinerijos taktika. Paleidus vykdomąjį failą, jis nuskaito PowerShell scenarijų iš užpuoliko valdomo serverio. Šis scenarijus renka informaciją apie pažeistą sistemą ir įkelia ją į „GitHub“ saugyklą, kur atsisiunčiamas papildomas kenkėjiškas kodas.

„TRANSLATEXT“ yra „Google“ vertėjo plėtinys ir apima „JavaScript“, kad apeitų tokių paslaugų kaip „Google“, „Kakao“ ir „Naver“ saugos priemones. Jis fiksuoja naršyklės ekrano kopijas, pašalina kredencialus ir slapukus bei gauna komandas iš „Blogger Blogspot“ URL, kad atliktų kitus kenkėjiškus veiksmus, pvz., padarytų naujai atidarytų skirtukų ekrano kopijas ir ištrintų naršyklės slapukus.

Kaip apsaugoti įrenginius nuo TRANSLATEXT kenkėjiškų programų

Apsaugai nuo TRANSLATEXT ir panašių kenkėjiškų programų reikia įvairiapusio požiūrio:

1. Būkite atsargūs su el. pašto priedais ir nuorodomis : neatidarykite priedų ir nespauskite nuorodų iš nežinomų ar įtartinų šaltinių. Sukčiavimas su sukčiavimu yra įprastas kenkėjiškų programų, pvz., TRANSLATEXT, platinimo būdas.
2. Naudokite stiprius, unikalius slaptažodžius : stiprių, unikalių skirtingų paskyrų slaptažodžių naudojimas gali sumažinti žalą, jei kredencialai bus pažeisti. Apsvarstykite galimybę naudoti slaptažodžių tvarkyklę, kad galėtumėte sekti sudėtingus slaptažodžius.
3. Atnaujinkite programinę įrangą : reguliariai atnaujinkite operacinę sistemą, naršyklę ir kitą programinę įrangą, kad pataisytumėte pažeidžiamumą, kurį gali išnaudoti kenkėjiškos programos.
4. Įdiekite patikimą saugos programinę įrangą : naudokite visapusišką saugos programinę įrangą, kad aptiktumėte ir užblokuotumėte kenkėjiškas programas. Įsitikinkite, kad jis reguliariai atnaujinamas, kad atpažintumėte naujausias grėsmes.
5. Įgalinti kelių veiksnių autentifikavimą (MFA) : MFA prideda dar vieną saugos sluoksnį, reikalaudama papildomos patvirtinimo formos, todėl bus sunkiau pasiekti, net jei užpuolikai turi jūsų slaptažodį.
6. Švietimas ir mokymas : svarbiausia yra sąmoningumas. Išmokykite save ir kitus apie kibernetinių užpuolikų taktikas, pvz., sukčiavimą ir socialinę inžineriją, kad sumažintumėte riziką tapti šių schemų aukomis.

Būdami informuoti ir budrūs, vartotojai gali apsisaugoti nuo tylios, tačiau reikšmingos grėsmės, kurią kelia TRANSLATEXT kenkėjiška programa ir kitos kibernetinės grėsmės, kurias organizuoja tokios grupės kaip Kimsuky.