Kimsuky usa TRANSLATEXT para robar datos confidenciales

El actor de amenazas vinculado a Corea del Norte, conocido como Kimsuky, ha sido asociado con el uso de una nueva extensión maliciosa de Google Chrome, diseñada para robar información confidencial como parte de un esfuerzo continuo de recopilación de inteligencia.

Zscaler ThreatLabz, que observó la actividad a principios de marzo de 2024, ha bautizado la extensión con el nombre en clave TRANSLATEXT, destacando su capacidad para recopilar direcciones de correo electrónico, nombres de usuario, contraseñas, cookies y capturas de pantalla del navegador.

La campaña dirigida estaba enfocada en el mundo académico surcoreano, específicamente aquellos centrados en asuntos políticos de Corea del Norte. Kimsuky es un notorio equipo de piratas informáticos de Corea del Norte, activo desde al menos 2012, orquestando espionaje cibernético y ataques motivados financieramente contra entidades surcoreanas.

Como grupo hermano del cúmulo Lazarus y parte de la Oficina General de Reconocimiento (RGB), Kimsuky también se rastrea bajo los nombres APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail y Velvet Chollima. Recientemente, el grupo ha explotado una falla de seguridad en Microsoft Office (CVE-2017-11882) para distribuir un keylogger y ha utilizado señuelos temáticos de trabajo en ataques dirigidos a los sectores aeroespacial y de defensa.

La puerta trasera, que no parece haber sido documentada públicamente antes, permite al atacante realizar un reconocimiento básico y soltar cargas útiles adicionales para tomar el control o controlar de forma remota la máquina, según la compañía de ciberseguridad CyberArmor, que ha nombrado a la campaña Niki.

El modo exacto de acceso inicial asociado con la actividad recién descubierta no está claro, aunque se sabe que el grupo aprovecha los ataques de spear-phishing e ingeniería social para activar la cadena de infección. El ataque comienza con un archivo ZIP que contiene un documento del procesador de textos Hangul y un ejecutable. El inicio del ejecutable resulta en la recuperación de un script de PowerShell de un servidor controlado por el atacante, que exporta información sobre la víctima comprometida a un repositorio de GitHub y descarga código adicional de PowerShell mediante un archivo de acceso directo de Windows (LNK).

Zscaler encontró la cuenta de GitHub, creada el 13 de febrero de 2024, que alojaba brevemente la extensión TRANSLATEXT bajo el nombre "GoogleTranslate.crx". Estos archivos estaban presentes en el repositorio el 7 de marzo de 2024 y se eliminaron al día siguiente, sugiriendo que Kimsuky tenía la intención de minimizar la exposición y usar el malware durante un corto período para atacar a personas específicas, dijo el investigador de seguridad Seongsu Park.

TRANSLATEXT, que se hace pasar por Google Translate, incorpora código JavaScript para eludir las medidas de seguridad de servicios como Google, Kakao y Naver; desviar direcciones de correo electrónico, credenciales y cookies; capturar capturas de pantalla del navegador; y exfiltrar datos robados. También está diseñado para obtener comandos de una URL de Blogger Blogspot para tomar capturas de pantalla de pestañas recién abiertas y eliminar todas las cookies del navegador.

"Uno de los principales objetivos del grupo Kimsuky es llevar a cabo la vigilancia del personal académico y gubernamental para recopilar información valiosa", añadió Park.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta