Devlet destekli Kuzey Kore tehdit aktörlerinin, bir kez daha Güney Kore'deki insanları hedef almak için kötü niyetli Google Chrome uzantıları kullandıkları ortaya çıktı.
Bu kez, Zscaler ThreatLabz siber güvenlik araştırmacıları, Kimsuky (Kuzey Kore hükümetine bağlı olduğu bilinen bir grup olan Velvet Chollima) olarak bilinen bilgisayar korsanlarının 7 Mart'ta GitHub havuzuna TRANSLATEXT adlı bir kötü amaçlı yazılım yükledikleri yeni bir saldırı tespit etti.
Bu kötü amaçlı yazılım, popüler tarayıcı için bir Google Translate uzantısı gibi görünse de aslında çoğu güvenlik önlemini atlatabilen ve ele geçirilen makineden hassas bilgileri çalabilen bir 'infostealer.' TRANSLATEXT özellikle e-posta adreslerini, kullanıcı adlarını, şifreleri ve çerezleri çalmak için tasarlanmış durumda ve tarayıcının ekran görüntülerini de alabiliyor.
Kötü amaçlı yazılım bir gün sonra, 8 Mart'ta kaldırıldı. Araştırmacılar bunun Kimsuky'nin kimin verilerini hedeflediğini tam olarak bildiği son derece hedefli bir saldırı olduğunu belirtiyor.
Zscaler kurbanların kimliklerini ayrıntılı olarak açıklamadı, ancak çoğunlukla Güney Kore'deki eğitim sektöründe olduklarını söyledi. Raporda, "Toplanan bu bilgilere dayanarak, Kore yarımadasında uzmanlaşmış akademik araştırmacıların, özellikle de Kuzey Kore ile ilgili jeopolitik konularla ilgilenenlerin bu saldırının birincil hedefleri arasında olduğunu tahmin ediyoruz" deniyor.
Bunu düşündüren kanıtlardan biri, kötü amaçlı yazılımın yanında dağıtılan ve kaba bir çeviriye göre "Kore Askeri Tarihi Üzerine Bir Monografinin İncelenmesi" adlı bir kelime işlem dosyası.
Kötü amaçlı yazılımın kurbanlara ulaştırılma yöntemleri şu anda bilinmiyor, ancak araştırmacılar Kimsuky'nin muhtemelen e-posta yoluyla yaydığını tahmin ediyor.