TRANSLATEXT Złośliwe oprogramowanie: ciche zagrożenie Kimsuky

W cyberbezpieczeństwie pojawianie się nowych zagrożeń jest ciągłym wyzwaniem. Jednym z takich niedawnych zagrożeń jest złośliwe oprogramowanie TRANSLATEXT, wyrafinowane narzędzie wykorzystywane przez osławioną północnokoreańską grupę hakerską Kimsuky . Oto szczegółowe spojrzenie na TRANSLATEXT, jego cel, jaki ma osiągnąć, jaki wpływ ma na użytkowników i sposoby ochrony przed nim.

Co to jest złośliwe oprogramowanie TRANSLATEXT?

TRANSLATEXT to złośliwe rozszerzenie przeglądarki Google Chrome zaprojektowane w celu infiltrowania i wydobywania poufnych informacji z docelowych urządzeń. Szkodnik ten, zaobserwowany po raz pierwszy na początku marca 2024 r., podszywa się pod łagodne narzędzie, utrudniając użytkownikom wykrycie jego prawdziwej natury. Jego szerokie możliwości obejmują możliwość gromadzenia adresów e-mail, nazw użytkowników, haseł, plików cookie i zrzutów ekranu przeglądarki.

Kampania wykorzystująca TRANSLATEXT była skierowana głównie do środowisk akademickich z Korei Południowej, w szczególności do tych zaangażowanych w sprawy polityczne Korei Północnej. Jest to zgodne z historycznym sposobem działania Kimsuky, północnokoreańskiej grupy cyberszpiegowskiej działającej co najmniej od 2012 r. Kimsuky, znana ze swojej koncentracji na gromadzeniu informacji wywiadowczych i korzyściach finansowych, często jest skierowana przeciwko podmiotom z Korei Południowej.

Czego chce złośliwe oprogramowanie TRANSLATEXT?

Głównym celem złośliwego oprogramowania TRANSLATEXT jest ułatwienie gromadzenia danych wywiadowczych. Urządzenia infiltrujące pozwalają Kimsuky'emu prowadzić inwigilację i zbierać cenne informacje na temat personelu akademickiego i rządowego. Te skradzione dane mogą obejmować wrażliwe dane osobowe, dane uwierzytelniające oraz wgląd w sprawy polityczne i wojskowe, które są bardzo interesujące dla operacji wywiadowczych Korei Północnej.

Kimsuky był powiązany z różnymi atakami cyberszpiegowskimi i motywowanymi finansowo. Są częścią Generalnego Biura Rozpoznania (RGB), północnokoreańskiej agencji wywiadu wojskowego i są powiązani z cieszącymi się złą sławą grupami, takimi jak gromada Łazarza. Ich ostatnie działania obejmują wykorzystywanie znanej luki w pakiecie Microsoft Office (CVE-2017-11882) w celu rozpowszechniania keyloggerów i innych narzędzi szpiegowskich.

Co się dzieje, gdy użytkownicy napotykają złośliwe oprogramowanie TRANSLATEXT?

Kiedy urządzenie zostaje zainfekowane TRANSLATEXT, złośliwe oprogramowanie działa po cichu w tle, eksfiltrując dane na zdalny serwer. Infekcja zwykle rozpoczyna się od archiwum ZIP zawierającego dokument edytora tekstu Hangul i plik wykonywalny, na który użytkownicy mogą natrafić w wyniku spear-phishingu lub socjotechniki. Po uruchomieniu plik wykonywalny pobiera skrypt PowerShell z serwera kontrolowanego przez osobę atakującą. Skrypt ten zbiera informacje o zaatakowanym systemie i przesyła je do repozytorium GitHub, gdzie pobierany jest dodatkowy złośliwy kod.

TRANSLATEXT udaje rozszerzenie Tłumacza Google i zawiera JavaScript, aby ominąć zabezpieczenia usług takich jak Google, Kakao i Naver. Przechwytuje zrzuty ekranu przeglądarki, wysysa dane uwierzytelniające i pliki cookie oraz pobiera polecenia z adresu URL Blogger Blogspot w celu wykonania dalszych złośliwych działań, takich jak robienie zrzutów ekranu nowo otwartych kart i usuwanie plików cookie przeglądarki.

Jak chronić urządzenia przed złośliwym oprogramowaniem TRANSLATEXT

Ochrona przed TRANSLATEXT i podobnym złośliwym oprogramowaniem wymaga wieloaspektowego podejścia:

1. Zachowaj ostrożność w przypadku załączników i łączy do wiadomości e-mail : nie otwieraj załączników ani nie klikaj łączy z nieznanych lub podejrzanych źródeł. Spear-phishing to powszechna metoda rozprzestrzeniania złośliwego oprogramowania, takiego jak TRANSLATEXT.
2. Używaj silnych, unikalnych haseł : stosowanie silnych, unikalnych haseł do różnych kont może ograniczyć szkody w przypadku naruszenia poświadczeń. Rozważ użycie menedżera haseł do śledzenia złożonych haseł.
3. Aktualizuj oprogramowanie : regularnie aktualizuj swój system operacyjny, przeglądarkę i inne oprogramowanie, aby załatać luki w zabezpieczeniach, które może wykorzystać złośliwe oprogramowanie.
4. Zainstaluj renomowane oprogramowanie zabezpieczające : użyj kompleksowego oprogramowania zabezpieczającego do wykrywania i blokowania złośliwego oprogramowania. Upewnij się, że jest regularnie aktualizowany, aby rozpoznawać najnowsze zagrożenia.
5. Włącz uwierzytelnianie wieloskładnikowe (MFA) : MFA dodaje kolejną warstwę zabezpieczeń, wymagając dodatkowej formy weryfikacji, co utrudnia uzyskanie dostępu, nawet jeśli osoby atakujące znają Twoje hasło.
6. Edukuj i szkol : świadomość jest kluczem. Edukuj siebie i innych na temat taktyk stosowanych przez cyberprzestępców, takich jak phishing i inżynieria społeczna, aby zmniejszyć ryzyko stania się ofiarą tych schematów.

Pozostając na bieżąco i zachowując czujność, użytkownicy mogą chronić się przed cichym, ale znaczącym zagrożeniem, jakie stanowi złośliwe oprogramowanie TRANSLATEXT i inne zagrożenia cybernetyczne organizowane przez grupy takie jak Kimsuky.