O ator de ameaças ligado à Coreia do Norte conhecido como Kimsuky foi associado ao uso de uma nova extensão maliciosa do Google Chrome projetada para roubar informações sensíveis como parte de um esforço contínuo de coleta de inteligência.
A Zscaler ThreatLabz, que observou a atividade no início de março de 2024, nomeou a extensão de TRANSLATEXT, destacando sua capacidade de coletar endereços de e-mail, nomes de usuário, senhas, cookies e capturas de tela do navegador.
Diz-se que a campanha direcionada foi contra a academia sul-coreana, especificamente aqueles focados em assuntos políticos norte-coreanos.
Kimsuky é uma equipe de hacking notória da Coreia do Norte conhecida por estar ativa desde pelo menos 2012, orquestrando espionagem cibernética e ataques motivados financeiramente visando entidades sul-coreanas.
Um grupo irmão do cluster Lazarus e parte do Reconnaissance General Bureau (RGB), também é rastreado sob os nomes APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail e Velvet Chollima.
Nas últimas semanas, o grupo utilizou uma falha de segurança conhecida no Microsoft Office (
CVE-2017-11882
) para distribuir um keylogger e usou iscas temáticas de emprego em ataques direcionados aos setores aeroespacial e de defesa com o objetivo de instalar uma ferramenta de espionagem com funcionalidades de coleta de dados e execução de payload secundária.
"A backdoor, que aparentemente não havia sido documentada publicamente antes, permite ao atacante realizar reconhecimento básico e implantar payloads adicionais para assumir ou controlar remotamente a máquina", disse a empresa de cibersegurança CyberArmor.
A campanha recebeu o nome de Niki.
O modo exato de acesso inicial associado à atividade recém-descoberta atualmente é incerto, embora o grupo seja conhecido por aproveitar ataques de spear-phishing e engenharia social para ativar a cadeia de infecção.
O ponto de partida do ataque é um arquivo ZIP que pretende ser sobre a história militar coreana e contém dois arquivos: Um documento do Hangul Word Processor e um executável.
Executar o executável resulta na recuperação de um script do PowerShell de um servidor controlado pelo atacante, que, por sua vez, exporta informações sobre a vítima comprometida para um repositório do GitHub e baixa código adicional do PowerShell por meio de um arquivo de atalho do Windows (LNK).
A Zscaler informou que encontrou a conta do GitHub, criada em 13 de fevereiro de 2024, hospedando brevemente a extensão TRANSLATEXT sob o nome "GoogleTranslate.crx", embora seu método de entrega seja atualmente desconhecido.
"Esses arquivos estavam presentes no repositório em 7 de março de 2024 e deletados no dia seguinte, implicando que Kimsuky pretendia minimizar a exposição e usar o malware por um curto período para visar indivíduos específicos", disse o pesquisador de segurança Seongsu Park.
TRANSLATEXT, que se disfarça de Google Translate, incorpora código JavaScript para contornar medidas de segurança para serviços como Google, Kakao e Naver; sifonar endereços de e-mail, credenciais e cookies; capturar capturas de tela do navegador; e exfiltrar dados roubados.
Também é projetado para buscar comandos de uma URL do Blogger Blogspot a fim de tirar capturas de tela de novas abas abertas e deletar todos os cookies do navegador, entre outros.
"Um dos principais objetivos do grupo Kimsuky é conduzir vigilância sobre o pessoal acadêmico e governamental para coletar informações valiosas", disse Park.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...