Theo TechRadar, các chuyên gia an ninh mạng tại Zscaler ThreatLabz vừa phát hiện một chiến dịch tấn công mạng mới của nhóm tin tặc Kimsuky, được cho là từ Triều Tiên. Nhóm này đã sử dụng một phần mềm độc hại có tên TRANSLATEXT, ngụy trang dưới dạng tiện ích mở rộng Google Dịch trên trình duyệt Chrome, để đánh cắp thông tin nhạy cảm từ người dùng.
Mục tiêu chính của chiến dịch này được cho là các nhà nghiên cứu học thuật chuyên về bán đảo Triều Tiên tại Hàn Quốc. Phần mềm độc hại TRANSLATEXT có khả năng đánh cắp địa chỉ email, tên người dùng, mật khẩu, cookie và thậm chí chụp ảnh màn hình trình duyệt.
Mặc dù phần mềm độc hại đã bị gỡ bỏ khỏi kho lưu trữ GitHub sau một ngày, các chuyên gia cho rằng đây là một chiến dịch có chủ đích rõ ràng và Kimsuky đã biết chính xác mục tiêu của mình.
Phương thức phát tán phần mềm độc hại vẫn chưa được xác định rõ ràng, nhưng các nhà nghiên cứu nghi ngờ Kimsuky có thể đã sử dụng email để gửi liên kết tải xuống tiện ích mở rộng giả mạo.
Đây không phải là lần đầu tiên Kimsuky sử dụng tiện ích mở rộng độc hại trên Chrome để tấn công. Trước đó, nhóm này đã bị phát hiện sử dụng các tiện ích mở rộng giả mạo khác để nhắm mục tiêu vào các tổ chức chính phủ và doanh nghiệp.
Vụ việc này đang nhấn mạnh tầm quan trọng của việc cảnh giác khi tải xuống và cài đặt các tiện ích mở rộng từ các nguồn không đáng tin cậy. Người dùng nên luôn kiểm tra kỹ thông tin về nhà phát triển và đánh giá của người dùng trước khi cài đặt bất kỳ tiện ích mở rộng nào.