Ny malware fra Nord-Korea rettet mot jobbsøkere i kryptovaluta
En trusselaktør knyttet til Nord-Korea har målrettet jobbsøkere i kryptovalutaindustrien med ny malware designet for å stjele passord til kryptovaluta-lommebøker og passordhåndteringsverktøy. Cisco Talos rapporterte onsdag at de har oppdaget en ny Python-basert trojaner for fjernkontroll (RAT) kalt PylangGhost, og knyttet denne malware til et Nord-Korea-tilknyttet hackingkollektiv kalt Famous Chollima, også kjent som Wagemole.
Hackergruppen har målrettet jobbsøkere og ansatte med erfaring innen kryptovaluta og blokkjedeteknologi, primært i India. Angrepene utføres gjennom falske jobbintervjuer som involverer sosial manipulering.
«Basert på de annonserte stillingene er det klart at Famous Chollima bredt målretter enkeltpersoner med erfaring innen kryptovaluta og blokkjedeteknologier.»
Falske jobbnettsteder og tester dekker over for malware. Angriperne oppretter falske jobbnettsteder som utgir seg for å være legitime selskaper, som Coinbase, Robinhood og Uniswap, og ofrene ledes gjennom en flertrinnsprosess. Dette inkluderer første kontakt fra falske rekrutterere som sender invitasjoner til ferdighetstesting-nettsteder hvor informasjonen samles inn. Neste steg lokkes ofrene til å aktivere videokamera-tilgang for falske intervjuer, der de blir bedt om å kopiere og utføre ondsinnede kommandoer under påskudd av å installere oppdaterte videodrivere, noe som fører til kompromittering av enheten deres.
PylangGhost og dens funksjonalitet
Payload målretter kryptovaluta-lommebøker. PylangGhost er en variant av den tidligere dokumenterte GolangGhost RAT, og deler lignende funksjonalitet, ifølge Cisco Talos. Når den kjøres, aktiveres kommandoene for fjernkontroll av det infiserte systemet, og tyveri av informasjonskapsler og legitimasjon fra over 80 nettleserutvidelser rapporteres. Disse inkluderer passordhåndterere og kryptovaluta-lommebøker som MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink og MultiverseX.
Multitasking malware kan utføre andre oppgaver og kjøre en rekke kommandoer, inkludert å ta skjermbilder, administrere filer, stjele nettleserdata, samle systeminformasjon og opprettholde fjernkontroll til infiserte systemer. Forskerne bemerket også at det er usannsynlig at trusselaktørene har brukt en AI-basert stor språkmodell for å hjelpe til med å skrive koden, basert på kommentarene som ble lagt frem.
Falske jobbtilbud – en kjent taktikk
Falske jobbtilbud er ikke nytt. Dette er ikke første gang Nord-Korea-tilknyttede hackere har brukt falske jobber og intervjuer for å lokke ofrene sine. I april var hackere knyttet til det 1,4 milliarder dollar store Bybit-ranet målrettet kryptovalutautviklere ved å bruke falske rekrutteringsprøver infisert med malware.
