Nos últimos tempos, temos assistido a um aumento significativo de ataques cibernéticos patrocinados por estados, e a Coreia do Norte tem estado frequentemente no centro das atenções. Desta vez, os investigadores de segurança cibernética da Zscaler ThreatLabz descobriram uma nova campanha maliciosa que utiliza extensões do Google Chrome para atingir principalmente indivíduos na Coreia do Sul.
O grupo de hackers conhecido como Kimsuky, também referido como Velvet Chollima e associado ao governo norte-coreano, lançou recentemente uma campanha maliciosa que envolve a distribuição de um malware denominado TRANSLATEXT. Este malware foi carregado no repositório GitHub do grupo a 7 de março, disfarçado como uma extensão do Google Translate para o popular navegador Google Chrome.
Como Funciona o TRANSLATEXT?
O TRANSLATEXT é um infostealer, ou seja, um tipo de malware projetado para roubar informações sensíveis do dispositivo comprometido. Entre os dados que este malware é capaz de recolher estão endereços de email, nomes de utilizador, palavras-passe e cookies. Além disso, o TRANSLATEXT tem a capacidade de capturar capturas de ecrã do navegador, permitindo aos hackers obter uma visão mais detalhada das atividades online das vítimas.
Os investigadores da Zscaler concluíram que esta campanha foi altamente direcionada, com os hackers a saberem exatamente quais dados pretendiam obter. Embora os detalhes sobre as vítimas não tenham sido divulgados, a Zscaler indicou que a maioria dos alvos pertence ao setor da educação na Coreia do Sul.
Com base nas informações recolhidas, os investigadores acreditam que os principais alvos desta campanha são investigadores académicos especializados na península coreana, especialmente aqueles envolvidos em questões geopolíticas relacionadas com a Coreia do Norte. Um indício que suporta esta teoria é a distribuição de um ficheiro de processamento de texto intitulado “Revisão de uma Monografia sobre a História Militar Coreana”, conforme uma tradução aproximada.
Métodos de Distribuição
Embora os métodos exatos de entrega do malware às vítimas ainda não sejam conhecidos, os investigadores especulam que o Kimsuky está provavelmente a utilizar emails para distribuir o TRANSLATEXT. Este método é comum em campanhas de phishing, onde os hackers enviam emails fraudulentos que parecem legítimos para enganar os destinatários a instalar o malware.
Como Proteger-se Contra Estas Ameaças
Para se proteger contra ameaças como o TRANSLATEXT, é crucial seguir algumas práticas recomendadas de segurança cibernética:
- Instalar Software de Segurança: Utilize um software antivírus e antimalware confiável para proteger o seu dispositivo contra ameaças conhecidas e desconhecidas.
- Atualizar Regularmente: Mantenha o seu sistema operativo, navegador e todas as extensões atualizados para garantir que está protegido contra vulnerabilidades conhecidas.
- Cuidado com Emails Suspeitos: Seja cauteloso ao abrir emails de remetentes desconhecidos ou ao clicar em links e anexos suspeitos.
- Verificar Extensões: Antes de instalar qualquer extensão do navegador, verifique a sua legitimidade e leia as avaliações de outros utilizadores.
Fonte: Techradar