Devlet takviyeli Kuzey Kore tehdit aktörlerinin, bir kez daha Güney Kore’deki insanları hedef almak için kötü niyetli Google Chrome uzantıları kullandıkları ortaya çıktı.
Bu kez, Zscaler ThreatLabz siber güvenlik araştırmacıları, Kimsuky (Kuzey Kore hükümetine bağlı olduğu bilinen bir grup olan Velvet Chollima) olarak bilinen bilgisayar korsanlarının 7 Mart’ta GitHub havuzuna TRANSLATEXT isimli bir kötü amaçlı yazılım yükledikleri yeni bir saldırı tespit etti.
Bu kötü amaçlı yazılım, popüler tarayıcı için bir Google Translate uzantısı gibi görünse de aslında birden fazla güvenlik tedbirini atlatabilen ve ele geçirilen makineden hassas bilgileri çalabilen bir ‘infostealer.‘ TRANSLATEXT özellikle e-posta adreslerini, kullanıcı isimlerini, şifreleri ve çerezleri çalmak için tasarlanmış durumda ve tarayıcının ekran manzaralarını de alabiliyor.
Kötü amaçlı yazılım bir gün sonra, 8 Mart’ta kaldırıldı. Araştırmacılar bunun Kimsuky’nin kimin bilgilerini hedeflediğini tam olarak bildiği son derece gayeli bir saldırı olduğunu belirtiyor.
Zscaler kurbanların kimliklerini detaylı olarak açıklamadı, lakin çoğunlukla Güney Kore’deki eğitim bölümünde olduklarını söyledi. Raporda, “Toplanan bu bilgilere dayanarak, Kore yarımadasında uzmanlaşmış akademik araştırmacıların, özellikle de Kuzey Kore ile ilgili jeopolitik bahislerle ilgilenenlerin bu saldırının birincil maksatları arasında olduğunu tahmin ediyoruz” deniyor.
Bunu düşündüren delillerden biri, kötü amaçlı yazılımın yanında dağıtılan ve kaba bir çeviriye göre “Kore Askeri Tarihi Üzerine Bir Monografinin İncelenmesi” isimli bir kelime işlem belgesi.
Kötü amaçlı yazılımın kurbanlara ulaştırılma prosedürleri şu anda bilinmiyor, lakin araştırmacılar Kimsuky’nin muhtemelen e-posta yoluyla yaydığını tahmin ediyor.
22:30
