惡意軟體:無聲的 Kimsuky 威脅
在網路安全中,新威脅的出現是一個持續的挑戰。最近的威脅是 TRANSLATEXT 惡意軟體,這是臭名昭著的北韓駭客組織Kimsuky使用的複雜工具。以下是對 TRANSLATEXT 的深入了解、它的目標、它如何影響使用者以及防範它的方法。
Table of Contents
什麼是 TRANSLATEXT 惡意軟體?
TRANSLATEXT 是一種惡意 Google Chrome 擴充程序,旨在滲透並從目標裝置中提取敏感資訊。該惡意軟體於 2024 年 3 月初首次發現,它會將自己偽裝成良性工具,使用戶很難察覺其真實本質。其廣泛的功能包括收集電子郵件地址、使用者名稱、密碼、cookie 和瀏覽器螢幕截圖的能力。
使用 TRANSLATEXT 的活動主要針對韓國學術界,特別是那些參與北韓政治事務的人士。這與至少自 2012 年以來活躍的北韓網路間諜組織 Kimsuky 的歷史作案手法相符。
TRANSLATEXT 惡意軟體想要什麼?
TRANSLATEXT 惡意軟體的主要目標是促進情報收集。滲透設備使 Kimsuky 能夠進行監視並收集有關學術和政府人員的有價值的資訊。這些被盜資料可能包括敏感的個人資訊、憑證以及對政治和軍事事務的見解,這些對北韓情報部門來說非常有趣。
Kimsuky 與各種網路間諜活動和出於經濟動機的攻擊有關。他們是北韓軍事情報機構偵察總局 (RGB) 的一部分,並與拉撒路集群等臭名昭著的組織有聯繫。他們最近的活動包括利用 Microsoft Office 中的已知漏洞 (CVE-2017-11882) 來分發鍵盤記錄程式和其他間諜工具。
當使用者遇到 TRANSLATEXT 惡意軟體時會發生什麼?
當裝置感染 TRANSLATEXT 時,惡意軟體會在背景靜默執行,將資料外洩到遠端伺服器。感染通常從包含北韓文字處理器文件和可執行文件的 ZIP 檔案開始,使用者可能會透過魚叉式網路釣魚或社會工程策略遇到這些文件。一旦可執行檔啟動,它就會從攻擊者控制的伺服器檢索 PowerShell 腳本。該腳本收集有關受感染系統的資訊並將其上傳到 GitHub 儲存庫,並在其中下載其他惡意程式碼。
TRANSLATEXT 偽裝成 Google 翻譯擴展,並結合 JavaScript 來繞過 Google、Kakao 和 Naver 等服務的安全措施。它會擷取瀏覽器螢幕截圖、竊取憑證和 cookie,並從 Blogger Blogspot URL 取得命令以執行進一步的惡意操作,例如截取新開啟的標籤的螢幕截圖和刪除瀏覽器 cookie。
如何保護裝置免受 TRANSLATEXT 惡意軟體的侵害
防範 TRANSLATEXT 和類似惡意軟體需要採取多方面的方法:
- 謹慎對待電子郵件附件和連結:不要開啟附件或點擊來自未知或可疑來源的連結。魚叉式網路釣魚是傳播 TRANSLATEXT 等惡意軟體的常見方法。
- 使用強而獨特的密碼:為不同帳戶採用強而獨特的密碼可以在憑證洩露時限制損失。考慮使用密碼管理器來追蹤複雜的密碼。
- 保持軟體更新:定期更新您的作業系統、瀏覽器和其他軟體,以修補惡意軟體可能利用的漏洞。
- 安裝信譽良好的安全軟體:使用全面的安全軟體來偵測和阻止惡意軟體。確保定期更新以識別最新威脅。
- 啟用多重身份驗證 (MFA) :MFA 透過要求額外的驗證形式添加了另一個安全層,因此即使攻擊者擁有您的密碼,也很難獲得存取權限。
- 教育和培訓:意識是關鍵。讓自己和他人了解網路攻擊者使用的策略(例如網路釣魚和社會工程),以降低成為這些計畫受害者的風險。
透過保持知情和警惕,使用者可以保護自己免受 TRANSLATEXT 惡意軟體和 Kimsuky 等組織精心策劃的其他網路威脅所帶來的無聲而重大的威脅。
