O ator de ameaças ligado à Coreia do Norte, conhecido como Kimsuky, foi vinculado ao uso de uma nova extensão maliciosa do Google Chrome, projetada para roubar informações confidenciais como parte de um esforço contínuo de coleta de inteligência.
Zscaler ThreatLabz, que observou a atividade no início de março de 2024, deu o codinome à extensão TRANSLATEXT, destacando sua capacidade de coletar endereços de e-mail, nomes de usuário, senhas, cookies e capturas de tela do navegador.
Diz-se que a campanha direcionada foi direcionada contra o meio acadêmico sul-coreano, especificamente aqueles focados em assuntos políticos norte-coreanos.
Kimsuky é uma notória equipe de hackers da Coreia do Norte que está ativa desde pelo menos 2012, orquestrando espionagem cibernética e ataques com motivação financeira contra entidades sul-coreanas.
Um grupo irmão do aglomerado Lazarus e parte do Reconnaissance Common Bureau (RGB), também é rastreado pelos nomes APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail e Velvet Chollima.
Nas últimas semanas, o grupo usou uma falha de segurança conhecida no Microsoft Workplace (CVE-2017-11882) para distribuir um keylogger e usou iscas com temas de trabalho em ataques direcionados aos setores aeroespacial e de defesa com o objetivo de derrubar uma ferramenta de espionagem com funcionalidades de coleta de dados e execução de carga secundária.
“O backdoor, que não parece ter sido documentado publicamente antes, permite que o invasor execute reconhecimento básico e jogue payloads adicionais para assumir ou controlar remotamente a máquina”, disse a empresa de segurança cibernética CyberArmor. Ela deu à campanha o nome Niki.
O modo exato de acesso inicial associado à atividade recém-descoberta ainda não está claro, embora o grupo seja conhecido por utilizar ataques de spear-phishing e engenharia social para ativar a cadeia de infecção.
O ponto de partida do ataque é um arquivo ZIP que pretende ser sobre a história militar coreana e que contém dois arquivos: um documento do processador de texto Hangul e um executável.
O lançamento do executável resulta na recuperação de um script do PowerShell de um servidor controlado pelo invasor, que, por sua vez, exporta informações sobre a vítima comprometida para um repositório GitHub e baixa código adicional do PowerShell por meio de um arquivo de atalho do Home windows (LNK).
Zscaler disse que encontrou a conta GitHub, criada em 13 de fevereiro de 2024, hospedando brevemente a extensão TRANSLATEXT sob o nome “GoogleTranslate.crx”, embora seu método de entrega seja atualmente desconhecido.
“Esses arquivos estavam presentes no repositório em 7 de março de 2024 e foram excluídos no dia seguinte, o que implica que Kimsuky pretendia minimizar a exposição e usar o malware por um curto período para atingir indivíduos específicos”, disse o pesquisador de segurança Seongsu Park.
TRANSLATEXT, que se disfarça como Google Translate, incorpora código JavaScript para contornar medidas de segurança para serviços como Google, Kakao e Naver; desviar endereços de e-mail, credenciais e cookies; capturar capturas de tela do navegador; e exfiltrar dados roubados.
Ele também foi projetado para buscar comandos de uma URL do Blogger Blogspot para fazer capturas de tela de guias recém-abertas e excluir todos os cookies do navegador, entre outros.
“Um dos principais objetivos do grupo Kimsuky é realizar vigilância sobre funcionários acadêmicos e governamentais para coletar informações valiosas”, disse Park.