Стало відомо, як хакерам вдалось зламати Google Chrome для крадіжки конфіденційної інформації користувачів

Хакерська група з Північної Кореї Kimsuky запустила нове шкідливе розширення для Google Chrome під назвою TRANSLATEXT. Це розширення призначене для крадіжки конфіденційної інформації.

TRANSLATEXT може збирати електронні адреси, логіни, паролі, кукі та робити скріншоти браузера. Основною ціллю атаки стали академічні діячі Південної Кореї, які займаються питаннями північнокорейської політики.

Група Kimsuky, активна з 2012 року, відома своїми кібершпигунськими та фінансово мотивованими атаками. Вона тісно пов’язана з іншою хакерською групою Lazarus. Kimsuky також відома під іменами APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail і Velvet Chollima.

Нещодавно Kimsuky використовувала уразливість у Microsoft Office (CVE-2017−11 882) для поширення кейлоггера та фішингових приманок з пропозиціями роботи. У кінці червня компанія CyberArmor повідомила про новий бекдор Kimsuky, який дозволяє проводити базову розвідку та завантажувати додаткові шкідливі програми.

Методи початкового доступу Kimsuky включають фішинг і соціальну інженерію. Атака зазвичай починається з ZIP-архіву, що містить документ та виконуваний файл. Запуск файлу призводить до завантаження PowerShell-скрипта, який передає інформацію про жертву на репозиторій GitHub.