28 de junio de 2024Sala de prensaEspionaje cibernético / Ataque cibernético El actor de amenazas vinculado a Corea del Norte conocido como Kimsuky ha sido vinculado al uso de una nueva extensión maliciosa de Google Chrome que está diseñada para robar información confidencial como parte de un esfuerzo continuo de recopilación de inteligencia. Zscaler ThreatLabz, que observó la actividad a principios de marzo de 2024, ha denominado a la extensión TRANSLATEXT, destacando su capacidad para recopilar direcciones de correo electrónico, nombres de usuario, contraseñas, cookies y capturas de pantalla del navegador. Se dice que la campaña dirigida ha estado dirigida contra el mundo académico de Corea del Sur, específicamente aquellos centrados en los asuntos políticos de Corea del Norte. Kimsuky es un conocido equipo de piratas informáticos de Corea del Norte que se sabe que está activo desde al menos 2012, orquestando espionaje cibernético y ataques con motivaciones financieras dirigidos a entidades surcoreanas. Un grupo hermano del grupo Lazarus y parte del Reconnaissance General Bureau (RGB), también se lo rastrea bajo los nombres APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail y Velvet Chollima. En las últimas semanas, el grupo ha utilizado como arma una falla de seguridad conocida en Microsoft Office (CVE-2017-11882) para distribuir un keylogger y ha utilizado señuelos con temas de trabajo en ataques dirigidos a los sectores aeroespacial y de defensa con el objetivo de lanzar una herramienta de espionaje con funcionalidades de recopilación de datos y ejecución de carga útil secundaria. «La puerta trasera, que no parece haber sido documentada públicamente antes, permite al atacante realizar un reconocimiento básico y lanzar cargas útiles adicionales para tomar el control de la máquina o controlarla de forma remota», dijo la empresa de ciberseguridad CyberArmor. Le ha dado a la campaña el nombre de Niki. El modo exacto de acceso inicial asociado con la actividad recién descubierta actualmente no está claro, aunque se sabe que el grupo aprovecha los ataques de phishing y de ingeniería social para activar la cadena de infección. El punto de partida del ataque es un archivo ZIP que supuestamente trata sobre la historia militar de Corea y que contiene dos archivos: un documento de procesador de textos Hangul y un ejecutable. Al ejecutar el ejecutable, se recupera un script de PowerShell de un servidor controlado por el atacante, que, a su vez, exporta información sobre la víctima comprometida a un repositorio de GitHub y descarga código de PowerShell adicional mediante un archivo de acceso directo de Windows (LNK). Zscaler dijo que encontró la cuenta de GitHub, creada el 13 de febrero de 2024, que aloja brevemente la extensión TRANSLATEXT con el nombre «GoogleTranslate.crx», aunque actualmente se desconoce su método de entrega. «Estos archivos estaban presentes en el repositorio el 7 de marzo de 2024 y se eliminaron al día siguiente, lo que implica que Kimsuky tenía la intención de minimizar la exposición y usar el malware durante un corto período para atacar a individuos específicos», dijo el investigador de seguridad Seongsu Park. TRANSLATEXT, que se hace pasar por Google Translate, incorpora código JavaScript para eludir las medidas de seguridad de servicios como Google, Kakao y Naver; extraer direcciones de correo electrónico, credenciales y cookies; capturar capturas de pantalla del navegador; y exfiltrar datos robados. También está diseñado para obtener comandos de una URL de Blogger Blogspot con el fin de tomar capturas de pantalla de las pestañas recién abiertas y eliminar todas las cookies del navegador, entre otras cosas. «Uno de los principales objetivos del grupo Kimsuky es llevar a cabo vigilancia sobre el personal académico y gubernamental con el fin de reunir información valiosa», dijo Park. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.