Nordkoreansk hotaktör riktar in sig på kryptovalutaindustrin
En nordkoreanskt kopplad hotaktör har riktat in sig på arbetssökande inom kryptovalutaindustrin med en ny typ av malware, utformad för att stjäla lösenord kopplade till kryptovaluta plånböcker och lösenordshanterare. Cisco Talos rapporterade i onsdags att de upptäckt en ny Python-baserad fjärråtkomsttrojan (RAT) som de kallade ”PylangGhost”. Denna malware kopplas till den nordkoreanskt affilierade hackergruppen ”Famous Chollima”, även känd som ”Wagemole”. Hackargruppen har fokus på arbetssökande och anställda med erfarenhet inom kryptovaluta och blockchain, främst i Indien, där attackerna utförts genom falska jobbintervjucampanjer med hjälp av social ingenjörskonst.
Baserat på de annonserade positionerna är det tydligt att Famous Chollima är väldigt inriktade på individer med tidigare erfarenhet inom kryptovaluta och blockchain-teknologier.
Falska jobbsajter och tester som täckmantel för malware
Angriparna skapar bedrägliga jobbsajter som efterliknar legitima företag, såsom Coinbase, Robinhood och Uniswap. Offren guidas genom en flertrapsprocess, som inleds med att falska rekryterare skickar inbjudningar till färdighetstestningswebbplatser där informationsinsamlingen äger rum.
Nästa steg lurar offren att aktivera video- och kameraåtkomst under falska intervjuer, där de blir lurade att kopiera och köra skadliga kommandon under förevändning av att installera uppdaterade videodrivrutiner, vilket leder till en kompromiss av deras enhet.
Payload som riktar sig mot kryptovaluta plånböcker
PylangGhost är en variant av den tidigare dokumenterade GolangGhost RAT och delar liknande funktionalitet, rapporterade Cisco Talos. Vid exekvering möjliggör malware fjärrkontroll av det infekterade systemet samt stöld av cookies och referenser från över 80 webbläsartillägg, inklusive lösenordshanterare och kryptovaluta plånböcker såsom MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink och MultiverseX.
Multitasking malware
Malware kan också utföra andra uppgifter och exekvera flera kommandon, inklusive att ta skärmdumpar, hantera filer, stjäla webbläsardata, samla systeminformation och bibehålla fjärråtkomst till infekterade system. Forskare har noterat att det är osannolikt att hotaktörerna har använt en artificiell intelligens stor språkmodell för att assistera vid kodskrivandet, baserat på kommentarerna inom koden.
Falska jobberbjudanden är inte nya
Det är inte första gången nordkoreanskt relaterade hackare har använt falska jobb och intervjuer för att locka sina offer. I april riktade sig hackare kopplade till det $1,4 miljarder stora Bybit-röveriet mot kryptovalutautvecklare genom falska rekryteringstester infekterade med malware.
