{"id":1256098,"date":"2024-06-28T18:30:27","date_gmt":"2024-06-28T18:30:27","guid":{"rendered":"https:\/\/teknomers.com\/es\/kimsuky-usa-la-extension-translatext-chrome-para-robar-datos-confidenciales\/"},"modified":"2024-06-28T18:30:31","modified_gmt":"2024-06-28T18:30:31","slug":"kimsuky-usa-la-extension-translatext-chrome-para-robar-datos-confidenciales","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/kimsuky-usa-la-extension-translatext-chrome-para-robar-datos-confidenciales\/","title":{"rendered":"Kimsuky usa la extensi\u00f3n TRANSLATEXT Chrome para robar datos confidenciales"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>28 de junio de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Ciberespionaje \/ Ciberataque<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

El actor de amenazas vinculado a Corea del Norte conocido como Kimsuky ha sido vinculado al uso de una nueva extensi\u00f3n maliciosa de Google Chrome dise\u00f1ada para robar informaci\u00f3n confidencial como parte de un esfuerzo continuo de recopilaci\u00f3n de inteligencia.<\/p>\n

Zscaler ThreatLabz, que observado<\/a> La actividad, que tuvo lugar a principios de marzo de 2024, ha denominado en c\u00f3digo la extensi\u00f3n TRANSLATEXT, destacando su capacidad para recopilar direcciones de correo electr\u00f3nico, nombres de usuario, contrase\u00f1as, cookies y capturas de pantalla del navegador.<\/p>\n

Se dice que la campa\u00f1a dirigida contra el mundo acad\u00e9mico de Corea del Sur, espec\u00edficamente contra aquellos centrados en asuntos pol\u00edticos de Corea del Norte.<\/p>\n

Kimsuky es un conocido equipo de piratas inform\u00e1ticos de Corea del Norte que se sabe que est\u00e1 activo desde al menos 2012, orquestando espionaje cibern\u00e9tico y ataques con motivaciones financieras dirigidos a entidades surcoreanas.<\/p>\n

\"La<\/a><\/center><\/div>\n

Un grupo hermano del grupo Lazarus y parte de la Oficina General de Reconocimiento (RGB), tambi\u00e9n se lo rastrea bajo los nombres APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail y Velvet Chollima.<\/p>\n

En las \u00faltimas semanas, el grupo ha convertido en arma<\/a> una falla de seguridad conocida en Microsoft Office (CVE-2017-11882) para distribuir un keylogger y ha utilizado Se\u00f1uelos con tem\u00e1tica de trabajo<\/a> en ataques dirigidos a los sectores aeroespacial y de defensa con el objetivo de lanzar una herramienta de espionaje con funcionalidades de recopilaci\u00f3n de datos y ejecuci\u00f3n de carga \u00fatil secundaria.<\/p>\n

“La puerta trasera, que no parece haber sido documentada p\u00fablicamente antes, permite al atacante realizar un reconocimiento b\u00e1sico y soltar cargas \u00fatiles adicionales para hacerse cargo o controlar remotamente la m\u00e1quina”, dijo la empresa de ciberseguridad CyberArmor. dicho<\/a>. Le ha dado a la campa\u00f1a el nombre de Niki.<\/p>\n

\"Extensi\u00f3n<\/a><\/div>\n

El modo exacto de acceso inicial asociado con la actividad recientemente descubierta no est\u00e1 claro actualmente, aunque se sabe que el grupo aprovecha ataques de phishing y de ingenier\u00eda social para activar la cadena de infecci\u00f3n.<\/p>\n

El punto de partida del ataque es un archivo ZIP que pretende tratar sobre la historia militar coreana y que contiene dos archivos: un documento del procesador de textos Hangul y un ejecutable.<\/p>\n

Al ejecutar el ejecutable se recupera un script de PowerShell de un servidor controlado por el atacante, que, a su vez, exporta informaci\u00f3n sobre la v\u00edctima comprometida a un repositorio de GitHub y descarga c\u00f3digo de PowerShell adicional mediante un archivo de acceso directo de Windows (LNK).<\/p>\n

Zscaler dijo que encontr\u00f3 el cuenta GitHub<\/a>creado el 13 de febrero de 2024, que aloja brevemente la extensi\u00f3n TRANSLATEXT con el nombre “GoogleTranslate.crx”, aunque actualmente se desconoce su m\u00e9todo de entrega.<\/p>\n

\"La<\/a><\/center><\/section>\n

“Estos archivos estaban presentes en el repositorio el 7 de marzo de 2024 y se eliminaron al d\u00eda siguiente, lo que implica que Kimsuky ten\u00eda la intenci\u00f3n de minimizar la exposici\u00f3n y usar el malware durante un corto per\u00edodo para atacar a individuos espec\u00edficos”, dijo el investigador de seguridad Seongsu Park.<\/p>\n

TRANSLATEXT, que se hace pasar por Google Translate, incorpora c\u00f3digo JavaScript para eludir las medidas de seguridad de servicios como Google, Kakao y Naver; extraer direcciones de correo electr\u00f3nico, credenciales y cookies; capturar capturas de pantalla del navegador y exfiltrar datos robados. <\/p>\n

Tambi\u00e9n est\u00e1 dise\u00f1ado para recuperar comandos de una URL de Blogger Blogspot para tomar capturas de pantalla de pesta\u00f1as reci\u00e9n abiertas y eliminar todas las cookies del navegador, entre otras cosas.<\/p>\n

“Uno de los principales objetivos del grupo Kimsuky es vigilar al personal acad\u00e9mico y gubernamental para recopilar informaci\u00f3n valiosa”, dijo Park.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n