TRANSLATEXT 恶意软件:无声的 Kimsuky 威胁
在网络安全领域,新威胁的出现是一个持续不断的挑战。最近的一个威胁是 TRANSLATEXT 恶意软件,这是臭名昭著的朝鲜黑客组织Kimsuky使用的一种复杂工具。下面深入介绍 TRANSLATEXT,包括它的目标、对用户的影响以及防范方法。
Table of Contents
什么是 TRANSLATEXT 恶意软件?
TRANSLATEXT 是一款恶意的 Google Chrome 扩展程序,旨在渗透并提取目标设备的敏感信息。该恶意软件于 2024 年 3 月初首次被发现,它伪装成良性工具,使用户难以发现其真实性质。它的广泛功能包括收集电子邮件地址、用户名、密码、cookie 和浏览器屏幕截图。
TRANSLATEXT 发起的攻击活动主要针对韩国学术界,特别是那些参与朝鲜政治事务的学术界。这与 Kimsuky 的历史作案手法相符,Kimsuky 是一个至少自 2012 年以来一直活跃的朝鲜网络间谍组织。Kimsuky 以收集情报和获取经济利益而闻名,其活动通常针对韩国实体。
TRANSLATEXT 恶意软件想要什么?
TRANSLATEXT 恶意软件的主要目标是协助情报收集。渗透设备允许 Kimsuky 进行监视并收集有关学术和政府人员的宝贵信息。这些被盗数据可能包括敏感的个人信息、凭证以及对政治和军事事务的见解,这些信息对朝鲜情报机构来说非常重要。
Kimsuky 涉嫌发动各种网络间谍活动和以经济为目的的攻击。他们是朝鲜军事情报机构侦察总局 (RGB) 的一部分,与 Lazarus 集群等臭名昭著的组织有联系。他们最近的活动包括利用 Microsoft Office 中已知的漏洞 (CVE-2017-11882) 来分发键盘记录器和其他间谍工具。
当用户遇到 TRANSLATEXT 恶意软件时会发生什么?
当设备感染 TRANSLATEXT 时,恶意软件会在后台悄悄运行,将数据泄露到远程服务器。感染通常从包含 Hangul Word Processor 文档和可执行文件的 ZIP 存档开始,用户可能会通过鱼叉式网络钓鱼或社会工程手段遇到该文件。可执行文件启动后,它会从攻击者控制的服务器检索 PowerShell 脚本。该脚本收集有关受感染系统的信息并将其上传到 GitHub 存储库,然后下载其他恶意代码。
TRANSLATEXT 伪装成 Google 翻译扩展程序,并结合 JavaScript 来绕过 Google、Kakao 和 Naver 等服务的安全措施。它会捕获浏览器屏幕截图、窃取凭据和 Cookie,并从 Blogger Blogspot URL 获取命令以执行进一步的恶意操作,例如截取新打开的标签的屏幕截图和删除浏览器 Cookie。
如何保护设备免受 TRANSLATEXT 恶意软件的侵害
防范 TRANSLATEXT 和类似的恶意软件需要采取多方面的方法:
- 谨慎对待电子邮件附件和链接:不要打开附件或点击来自未知或可疑来源的链接。鱼叉式网络钓鱼是传播 TRANSLATEXT 等恶意软件的常用方法。
- 使用强大而独特的密码:为不同的帐户使用强大而独特的密码可以限制凭据被泄露时造成的损失。考虑使用密码管理器来跟踪复杂的密码。
- 保持软件更新:定期更新您的操作系统、浏览器和其他软件,以修补恶意软件可能利用的漏洞。
- 安装信誉良好的安全软件:使用全面的安全软件来检测和阻止恶意软件。确保定期更新以识别最新威胁。
- 启用多因素身份验证 (MFA) :MFA 通过要求额外的验证形式增加了另一层安全,因此即使攻击者拥有您的密码,也更难获得访问权限。
- 教育和培训:意识是关键。教育自己和他人了解网络攻击者使用的策略,例如网络钓鱼和社会工程,以降低成为这些骗局受害者的风险。
通过保持知情和警惕,用户可以保护自己免受 TRANSLATEXT 恶意软件和 Kimsuky 等团体策划的其他网络威胁所带来的无声但严重的威胁。
