В очередной раз было замечено, что злоумышленники, спонсируемые северокорейским государством, использовали вредоносные расширения Google Chrome для (в основном) атак на лиц в Южной Корее.
На этот раз исследователи кибербезопасности из Zscaler ThreatLabz столкнулись с новой кампанией, в ходе которой хакеры по имени Кимсуки (также известные как Velvet Chollima, группа, известная своими связями с правительством Северной Кореи) 7 марта загрузили вредоносное ПО под названием TRANSLATEXT на свой GitHub — загрузить репозиторий. .
Это вредоносное ПО маскировалось под расширение Google Translate для популярного браузера, но на самом деле было информационным похитителем, способным обойти большинство мер безопасности и украсть конфиденциальную информацию с зараженного компьютера. TRANSLATEXT специально разработан для кражи адресов электронной почты, имен пользователей, паролей и файлов cookie. Кроме того, он может делать скриншоты браузера.
Цель: наука
Собранная информация была отправлена обратно в аккаунт GitHub. Через день, 8 марта, вредоносная программа была снова удалена. Таким образом, исследователи пришли к выводу, что это была целевая кампания и что Кимсуки точно знал, на чьи данные она нацелена.
Зскалер не уточнил личности жертв, но сказал, что в основном они были связаны с образовательным сектором Южной Кореи. «Основываясь на собранной информации, мы считаем, что академические исследователи, специализирующиеся на Корейском полуострове, особенно те, кто работает над геополитическими вопросами, связанными с Северной Кореей, являются одними из основных целей этой кампании», — говорится в докладе.
Одним из признаков этого является файл текстового процессора, распространяемый вместе с вредоносным ПО и озаглавленный «Обзор монографии по корейской военной истории», как гласит приблизительный перевод.
Метод, используемый для доставки вредоносного ПО жертвам, в настоящее время неизвестен, но исследователи подозревают, что Кимсуки, вероятно, распространяет его по электронной почте.
Больше от TechRadar Pro
