Logiciel malveillant TRANSLATEXT
Le groupe menaçant nord-coréen Kimsuky a été associé à une nouvelle extension menaçante de Google Chrome visant à collecter des informations sensibles à des fins de collecte de renseignements. Découverte par des chercheurs en mars 2024, l'extension, baptisée TRANSLATEXT, est capable de collecter des adresses e-mail, des noms d'utilisateur, des mots de passe, des cookies et des captures d'écran du navigateur.
Cette campagne a ciblé les institutions universitaires sud-coréennes, en particulier celles qui étudient les questions politiques nord-coréennes.
Table des matières
Kimsuky est un important groupe de cybercriminalité
Kimsuky, un groupe de hackers bien connu de Corée du Nord, actif depuis au moins 2012, se livre au cyberespionnage et à des attaques à motivation financière contre des cibles sud-coréennes. Associé au cluster Lazarus et faisant partie du Bureau général de reconnaissance (RGB), Kimsuky est également identifié par des noms tels que APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail et Velvet Chollima. Leur mission principale est de surveiller le personnel universitaire et gouvernemental afin de recueillir des renseignements précieux.
Tactiques de spear phishing souvent exploitées par Kimsuky
Le groupe a exploité une vulnérabilité connue de Microsoft Office (CVE-2017-11882) pour distribuer un enregistreur de frappe, utilisant des leurres sur le thème du travail dans des attaques ciblant les secteurs de l'aérospatiale et de la défense. Leur objectif est de déployer un outil d'espionnage capable de collecter des données et d'exécuter des charges utiles secondaires.
Cette porte dérobée, qui semble jusqu'alors non documentée, permet aux attaquants d'effectuer une reconnaissance de base et de déployer des charges utiles supplémentaires pour prendre le contrôle ou contrôler à distance la machine.
La méthode exacte d'accès initial pour cette nouvelle activité reste floue, mais le groupe est connu pour avoir recours à des attaques de spear phishing et d'ingénierie sociale pour initier la chaîne d'infection.
TRANSLATEXT se fait passer pour Google Translate pour tromper les victimes
Le point de départ de l'attaque est une archive ZIP qui prétend concerner l'histoire militaire coréenne et qui contient deux fichiers : un document de traitement de texte Hangul et un exécutable.
Le lancement de l'exécutable entraîne la récupération d'un script PowerShell à partir d'un serveur contrôlé par un attaquant, qui, à son tour, exporte des informations sur la victime compromise vers un référentiel GitHub et télécharge du code PowerShell supplémentaire au moyen d'un fichier de raccourci Windows (LNK).
Les chercheurs notent que les preuves découvertes sur GitHub suggèrent que Kimsuky avait l'intention de minimiser l'exposition et d'utiliser le logiciel malveillant pendant une courte période pour cibler des individus spécifiques.
TRANSLATEXT, qui se fait passer pour Google Translate, intègre du code JavaScript pour contourner les mesures de sécurité de services comme Google, Kakao et Naver ; siphonner les adresses e-mail, les informations d’identification et les cookies ; capturez des captures d'écran du navigateur et exfiltrez les données volées.
Il est également conçu pour récupérer des commandes à partir d'une URL Blogger Blogspot afin de prendre des captures d'écran des onglets nouvellement ouverts et de supprimer tous les cookies du navigateur, entre autres.
