TRANSLATEXT: cuando Chrome se convierte en un arma de espionaje masivo

El grupo de hackers norcoreano Kimsuky ha lanzado recientemente una nueva extensión maliciosa para Google Chrome llamada TRANSLATEXT, diseñada para robar información confidencial. Esto fue informado por especialistas de la empresa Zscaler, quienes descubrieron la actividad maliciosa a principios de marzo de 2024.

La extensión TRANSLATEXT es capaz de recopilar direcciones de correo electrónico, nombres de usuario, contraseñas, cookies y hacer capturas de pantalla del navegador. El objetivo principal del ataque fueron representantes de la comunidad académica de Corea del Sur que se ocupan de asuntos relacionados con la política norcoreana.

El grupo Kimsuky, activo desde 2012, es conocido por sus ataques de ciberespionaje y financieramente motivados contra organizaciones surcoreanas. Es parte de la Oficina General de Reconocimiento (RGB) y está estrechamente relacionado con otro conocido grupo cibercriminal que opera en interés de Corea del Norte: Lazarus. Kimsuky también es conocido por los nombres APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail y Velvet Chollima.

En las últimas semanas, Kimsuky ha estado utilizando activamente una vulnerabilidad en Microsoft Office (CVE-2017-11882) para distribuir un keylogger y señuelos con ofertas de trabajo en ataques dirigidos a los sectores aeroespacial y de defensa, con el objetivo de implantar herramientas de espionaje.

La compañía CyberArmor informó a finales de junio que Kimsuky había desarrollado un nuevo backdoor que permite realizar reconocimiento básico y cargar cargas útiles adicionales para el control remoto de la máquina. La campaña fue nombrada Niki.

El método exacto de acceso inicial durante esta nueva actividad aún no se ha establecido. Sin embargo, se sabe que el grupo utiliza métodos de phishing e ingeniería social para activar la cadena de infección. El ataque generalmente comienza con un archivo ZIP supuestamente relacionado con el ejército coreano, que contiene un documento y un archivo ejecutable.

La ejecución del archivo ejecutable lleva a la descarga de un script PowerShell desde el servidor de los atacantes, que luego envía información sobre la víctima a un repositorio de GitHub y descarga código PowerShell adicional utilizando un acceso directo de Windows (LNK).

Zscaler descubrió que la cuenta de los hackers en GitHub fue creada el 13 de febrero de 2024 y alojó brevemente la extensión TRANSLATEXT bajo el nombre «GoogleTranslate.crx». Sin embargo, los archivos fueron eliminados por los propios atacantes al día siguiente, lo que indica la intención de Kimsuky de minimizar el impacto y utilizar el malware brevemente para atacar a individuos específicos.

La extensión TRANSLATEXT, que se hace pasar por Google Translate, incluye código JavaScript para robar datos y eludir las medidas de seguridad de servicios como Google, Kakao y Naver. La extensión también es capaz de recibir comandos desde Blogger Blogspot para crear capturas de pantalla de nuevas pestañas y eliminar todas las cookies del navegador.

En última instancia, el objetivo principal del grupo Kimsuky es llevar a cabo vigilancia de académicos y funcionarios gubernamentales para recopilar información útil para la inteligencia exterior de Corea del Norte.