Kuzey Koreli hacker’lar, Chrome uzantılarına sarıldı

Devlet takviyeli Kuzey Kore tehdit aktörlerinin, bir sefer daha Güney Kore’deki insanları hedef almak için kötü niyetli Google Chrome uzantıları kullandıkları ortaya çıktı.

Bu kez, Zscaler ThreatLabz siber güvenlik araştırmacıları, Kimsuky (Kuzey Kore hükümetine bağlı olduğu bilinen bir grup olan Velvet Chollima) olarak bilinen bilgisayar korsanlarının 7 Mart’ta GitHub havuzuna TRANSLATEXT isimli bir berbat gayeli yazılım yükledikleri yeni bir akın tespit etti.

Bu berbat hedefli yazılım, tanınan tarayıcı için bir Google Translate uzantısı üzere görünse de aslında birden fazla güvenlik tedbirini atlatabilen ve ele geçirilen makineden hassas bilgileri çalabilen bir ‘infostealer.‘ TRANSLATEXT bilhassa e-posta adreslerini, kullanıcı isimlerini, şifreleri ve çerezleri çalmak için tasarlanmış durumda ve tarayıcının ekran imgelerini de alabiliyor.

Kötü emelli yazılım bir gün sonra, 8 Mart’ta kaldırıldı. Araştırmacılar bunun Kimsuky’nin kimin datalarını hedeflediğini tam olarak bildiği son derece amaçlı bir akın olduğunu belirtiyor.

Zscaler kurbanların kimliklerini detaylı olarak açıklamadı, lakin çoğunlukla Güney Kore’deki eğitim bölümünde olduklarını söyledi. Raporda, “Toplanan bu bilgilere dayanarak, Kore yarımadasında uzmanlaşmış akademik araştırmacıların, özellikle de Kuzey Kore ile ilgili jeopolitik konularla ilgilenenlerin bu saldırının birincil hedefleri arasında olduğunu tahmin ediyoruz” deniyor.

Bunu düşündüren delillerden biri, makus emelli yazılımın yanında dağıtılan ve kaba bir çeviriye nazaran “Kore Askeri Tarihi Üzerine Bir Monografinin İncelenmesi” isimli bir söz süreç belgesi.

Kötü hedefli yazılımın kurbanlara ulaştırılma yolları şu anda bilinmiyor, fakat araştırmacılar Kimsuky’nin muhtemelen e-posta yoluyla yaydığını kestirim ediyor.