El grupo de piratas informáticos Kimsuky, vinculado a Corea del Norte, ha sido vinculado con una nueva extensión maliciosa de Google Chrome diseñada para robar información sensible. La extensión, conocida como TRANSLATEXT, es capaz de recolectar direcciones de correo electrónico, nombres de usuario, contraseñas, cookies y capturas de pantalla del navegador, según Zscaler ThreatLabz, que observó la actividad a principios de marzo de 2024.
Se informa que la campaña tenía como objetivo la academia surcoreana, especialmente aquellos centrados en asuntos políticos relacionados con Corea del Norte. Kimsuky es conocido por llevar a cabo ciberespionaje y ataques con motivación financiera contra entidades surcoreanas desde al menos 2012. También se le rastrea con otros nombres, como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail y Velvet Chollima.
Recientemente, el grupo ha explotado una vulnerabilidad conocida en Microsoft Office (CVE-2017-11882) para distribuir un keylogger y ha utilizado reclamos temáticos de trabajo en ataques dirigidos a sectores aeroespaciales y de defensa con el objetivo de ofrecer una herramienta de espionaje con funcionalidades de recopilación de datos y ejecución de cargas útiles secundarias.
La empresa de ciberseguridad CyberArmor ha nombrado a la campaña como Niki, destacando que el backdoor permite al atacante realizar reconocimiento básico y dejar caer cargas útiles adicionales para tomar el control o controlar remotamente la máquina.
El método exacto de acceso inicial asociado con la actividad recientemente descubierta aún no está claro, pero se sabe que el grupo utiliza ataques de spear-phishing e ingeniería social para activar la cadena de infección. El punto de partida del ataque es un archivo ZIP que pretende tratar sobre la historia militar de Corea y que contiene dos archivos: un documento de procesador de palabras Hangul y un ejecutable.
Lanzar el ejecutable resulta en la recuperación de un script de PowerShell desde un servidor controlado por el atacante, que a su vez exporta información sobre la víctima comprometida a un repositorio de GitHub y descarga código adicional de PowerShell mediante un archivo de acceso directo de Windows (LNK).
Zscaler encontró la cuenta de GitHub alojando brevemente la extensión TRANSLATEXT bajo el nombre «GoogleTranslate.crx«, aunque su método de distribución aún es desconocido. Según el investigador de seguridad Seongsu Park, estos archivos estaban presentes en el repositorio el 7 de marzo de 2024 y se eliminaron al día siguiente, lo que indica que Kimsuky tenía la intención de minimizar la exposición y utilizar el malware por un corto período para apuntar a individuos específicos.
TRANSLATEXT, que simula ser Google Translate, incorpora código JavaScript para evadir las medidas de seguridad de servicios como Google, Kakao y Naver, filtrar direcciones de correo electrónico, credenciales y cookies, capturar capturas de pantalla del navegador, y exfiltrar datos robados. También está diseñado para obtener comandos desde una URL de Blogger Blogspot para tomar capturas de pantalla de pestañas recién abiertas y eliminar todas las cookies del navegador.
«Uno de los objetivos principales del grupo Kimsuky es realizar vigilancia sobre personal académico y gubernamental con el fin de recopilar inteligencia valiosa», afirmó Park.
Vía The Hacker News