Attention aux Extensions Chrome Malveillantes des Pirates Nord-Coréens

Les pirates profitent des extensions Chrome malveillantes pour diffuser des logiciels malveillants. Ces extensions courantes permettent aux cybercriminels de cibler de nombreuses victimes. Une fois installées, elles peuvent collecter des données personnelles, afficher des pop-ups, modifier les URL et manipuler le navigateur.

Extensions Chrome Malveillantes : La Menace de Kimsuky

En mars 2024, Zscaler ThreatLabz a détecté une nouvelle activité de Kimsuky. Ce groupe de cyberespionnage, soutenu par l’État nord-coréen, se spécialise dans les attaques financières et l’espionnage. Kimsuky utilise une extension Chrome nommée “TRANSLATEXT” pour voler des données sensibles. Ainsi, ces données incluent des adresses e-mail, des informations d’identification et des captures d’écran de navigateur.

Extensions Chrome Malveillantes : La Méthode de Diffusion de TRANSLATEXT

Ensuite, l’infection commence par la distribution de fichiers d’archive contenant des documents trompeurs et des exécutables malveillants. Ces exécutables récupèrent des scripts PowerShell à partir de serveurs distants. Après cela, les pirates sauvegardent les données volées et les fichiers de l’extension sur un compte GitHub.

En outre, la méthode exacte de diffusion de TRANSLATEXT reste inconnue. Cependant, il semble que Kimsuky utilise des clés de registre Windows pour installer l’extension sans intervention de l’utilisateur. Cette technique fait partie des stratégies évolutives du groupe, visant des organisations sud-coréennes et internationales.

Une Extension Malveillante

En mars 2024, Kimsuky a brièvement téléchargé l’extension TRANSLATEXT sur GitHub. Déguisée en Google Translate, cette extension contient quatre fichiers JavaScript malveillants. Ainsi, ces fichiers contournent la sécurité, volent des informations sensibles et prennent des captures d’écran des navigateurs. Les chercheurs indiquent que l’extension cible particulièrement les utilisateurs sud-coréens, notamment sur les pages de connexion de Naver, Kakao et Gmail.

Extensions Chrome Malveillantes : Autorisations Étendues

Par ailleurs, l’extension demande des autorisations étendues pour injecter des scripts dans les pages web et en modifier le contenu. Cela montre que Kimsuky adapte continuellement ses stratégies de cyberespionnage. La prudence est donc de mise face à ces extensions trompeuses.

Extensions Chrome Malveillantes : Techniques de Cyberespionnage

Kimsuky utilise des techniques sophistiquées pour cibler les utilisateurs sud-coréens, en particulier dans le secteur de l’éducation. Ainsi, ils exploitent le résolveur de points morts pour obtenir des commandes à partir de blogs publics et collectent des informations via de multiples auditeurs. En plus, les pirates utilisent des requêtes HTTP POST pour la communication C2 et le webshell b374k pour voler des données.

Le groupe utilise également des services légitimes pour rediriger les utilisateurs et héberge des scripts malveillants sur des domaines coréens spécifiques. Ces tactiques permettent de ne pas éveiller les soupçons.

Extensions Chrome Malveillantes : Cibles Géopolitiques

Kimsuky cible particulièrement les chercheurs s’intéressant à la géopolitique de la péninsule coréenne. Ainsi, une attaque a été détectée contre un universitaire spécialisé dans ce domaine. Cette campagne vise à recueillir des renseignements auprès des universitaires sud-coréens.

Conclusion

En conclusion, les exemples illustrent les stratégies actuelles de Kimsuky. Il est crucial de rester informé des menaces liées à la Corée du Nord. Soyez prudent lors du téléchargement de programmes à partir de sites inconnus pour minimiser les risques.

Enfin, pour plus d’articles sur la cybersécurité, visitez souvent GeekFrance.