TRADUCCIÓN Malware
El grupo de amenazas norcoreano Kimsuky ha sido asociado con una nueva extensión amenazadora de Google Chrome destinada a recopilar información confidencial para la recopilación de inteligencia. Descubierta por investigadores en marzo de 2024, la extensión, denominada TRANSLATEXT, es capaz de recopilar direcciones de correo electrónico, nombres de usuario, contraseñas, cookies y capturas de pantalla del navegador.
Esta campaña se ha dirigido a instituciones académicas de Corea del Sur, en particular aquellas que investigan cuestiones políticas de Corea del Norte.
Tabla de contenido
Kimsuky es un destacado grupo de delitos cibernéticos
Kimsuky, un conocido grupo de hackers de Corea del Norte activo desde al menos 2012, se dedica al ciberespionaje y a ataques con motivación financiera contra objetivos de Corea del Sur. Asociado con el grupo Lazarus y parte de la Oficina General de Reconocimiento (RGB), Kimsuky también se identifica con nombres como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail y Velvet Chollima. Su misión principal es vigilar al personal académico y gubernamental para recopilar inteligencia valiosa.
Tácticas de phishing a menudo explotadas por Kimsuky
El grupo ha explotado una vulnerabilidad conocida de Microsoft Office (CVE-2017-11882) para distribuir un registrador de teclas, utilizando señuelos con temas laborales en ataques dirigidos a los sectores aeroespacial y de defensa. Su objetivo es implementar una herramienta de espionaje capaz de recopilar datos y ejecutar carga útil secundaria.
Esta puerta trasera, que parece no estar documentada anteriormente, permite a los atacantes realizar un reconocimiento básico y desplegar cargas útiles adicionales para hacerse cargo o controlar de forma remota la máquina.
El método exacto de acceso inicial para esta nueva actividad aún no está claro, pero se sabe que el grupo utiliza ataques de phishing y de ingeniería social para iniciar la cadena de infección.
TRANSLATEXT se hace pasar por Google Translate para engañar a las víctimas
El punto de partida del ataque es un archivo ZIP que pretende tratar sobre la historia militar coreana y que contiene dos archivos: un documento del procesador de textos Hangul y un ejecutable.
Al iniciar el ejecutable se recupera un script de PowerShell de un servidor controlado por el atacante, que, a su vez, exporta información sobre la víctima comprometida a un repositorio de GitHub y descarga código de PowerShell adicional mediante un archivo de acceso directo de Windows (LNK).
Los investigadores señalan que la evidencia descubierta en GitHub sugiere que Kimsuky tenía la intención de minimizar la exposición y usar el malware durante un período corto para atacar a individuos específicos.
TRANSLATEXT, que se hace pasar por Google Translate, incorpora código JavaScript para eludir las medidas de seguridad de servicios como Google, Kakao y Naver; desviar direcciones de correo electrónico, credenciales y cookies; capturar capturas de pantalla del navegador y extraer datos robados.
También está diseñado para recuperar comandos de una URL de Blogger Blogspot para tomar capturas de pantalla de pestañas recién abiertas y eliminar todas las cookies del navegador, entre otras cosas.
