Вредоносное ПО TRANSLATEXT: тихая угроза Кимсуки

В сфере кибербезопасности появление новых угроз является постоянной проблемой. Одной из таких недавних угроз является вредоносное ПО TRANSLATEXT, сложный инструмент, используемый пресловутой северокорейской хакерской группой Kimsuky . Ниже мы подробно рассмотрим TRANSLATEXT, цели, которые он преследует, как он влияет на пользователей и способы защиты от него.

Что такое вредоносное ПО TRANSLATEXT?

TRANSLATEXT — это вредоносное расширение Google Chrome, предназначенное для проникновения и извлечения конфиденциальной информации с целевых устройств. Впервые обнаруженная в начале марта 2024 года, эта вредоносная программа маскируется под безобидный инструмент, из-за чего пользователям сложно определить ее истинную природу. Его обширные возможности включают возможность собирать адреса электронной почты, имена пользователей, пароли, файлы cookie и снимки экрана браузера.

Кампания с использованием ТРАНСЛАТЕКСТ в первую очередь нацелена на южнокорейские академические круги, особенно на тех, кто участвует в политических делах Северной Кореи. Это соответствует историческому образу действий Кимсуки, северокорейской группы кибершпионажа, действующей как минимум с 2012 года. Известная своей направленностью на сбор разведывательной информации и получение финансовой выгоды, деятельность Кимсуки часто направлена против южнокорейских организаций.

Чего хочет вредоносное ПО TRANSLATEXT?

Основная цель вредоносного ПО TRANSLATEXT — облегчить сбор разведывательной информации. Устройства проникновения позволяют Кимсуки вести наблюдение и собирать ценную информацию об академических и государственных служащих. Эти украденные данные могут включать конфиденциальную личную информацию, учетные данные и информацию о политических и военных делах, которые очень интересны для северокорейских разведывательных операций.

Кимсуки был связан с различными кибершпионажскими и финансово мотивированными атаками. Они являются частью Генерального разведывательного управления (РГБ), северокорейского агентства военной разведки, и связаны с печально известными группировками, такими как кластер Лазаря. Их недавняя деятельность включает использование известной уязвимости в Microsoft Office (CVE-2017-11882) для распространения кейлоггеров и других шпионских инструментов.

Что происходит, когда пользователи сталкиваются с вредоносным ПО TRANSLATEXT?

Когда устройство заражено TRANSLATEXT, вредоносная программа работает в фоновом режиме, передавая данные на удаленный сервер. Заражение обычно начинается с ZIP-архива, содержащего документ текстового процессора Hangul и исполняемый файл, с которым пользователи могут столкнуться с помощью целевого фишинга или тактики социальной инженерии. После запуска исполняемого файла он получает сценарий PowerShell с сервера, контролируемого злоумышленником. Этот скрипт собирает информацию о скомпрометированной системе и загружает ее в репозиторий GitHub, куда загружается дополнительный вредоносный код.

TRANSLATEXT маскируется под расширение Google Translate и включает JavaScript для обхода мер безопасности таких сервисов, как Google, Kakao и Naver. Он делает снимки экрана браузера, откачивает учетные данные и файлы cookie, а также получает команды с URL-адреса Blogger Blogspot для выполнения дальнейших вредоносных действий, таких как создание снимков экрана вновь открытых вкладок и удаление файлов cookie браузера.

Как защитить устройства от вредоносного ПО TRANSLATEXT

Защита от TRANSLATEXT и подобных вредоносных программ требует комплексного подхода:

1. Будьте осторожны с вложениями и ссылками электронной почты . Не открывайте вложения и не переходите по ссылкам из неизвестных или подозрительных источников. Целенаправленный фишинг — распространенный метод распространения вредоносных программ, таких как TRANSLATEXT.
2. Используйте надежные, уникальные пароли . Использование надежных и уникальных паролей для разных учетных записей может ограничить ущерб, если учетные данные будут скомпрометированы. Рассмотрите возможность использования менеджера паролей для отслеживания сложных паролей.
3. Постоянно обновляйте программное обеспечение . Регулярно обновляйте свою операционную систему, браузер и другое программное обеспечение, чтобы устранить уязвимости, которыми могут воспользоваться вредоносные программы.
4. Установите надежное программное обеспечение безопасности . Используйте комплексное программное обеспечение безопасности для обнаружения и блокировки вредоносных программ. Убедитесь, что он регулярно обновляется, чтобы распознавать новейшие угрозы.
5. Включить многофакторную аутентификацию (MFA) : MFA добавляет еще один уровень безопасности, требуя дополнительную форму проверки, что затрудняет получение доступа, даже если у злоумышленников есть ваш пароль.
6. Обучайте и тренируйте : Ключевым моментом является осведомленность. Узнайте себя и других о тактиках, используемых киберзлоумышленниками, таких как фишинг и социальная инженерия, чтобы снизить риск стать жертвой этих схем.

Оставаясь информированными и бдительными, пользователи могут защитить себя от скрытой, но серьезной угрозы, исходящей от вредоносного ПО TRANSLATEXT, и других киберугроз, организованных такими группами, как Kimsuky.