Hakerzy z Korei Północnej wykorzystują złośliwe oprogramowanie PylangGhost w fałszywym oszustwie związanym z pracą w kryptowalucie

Nowa seria cyberataków jest wymierzona w profesjonalistów z branży kryptograficznej i blockchain, wykorzystując fałszywe oszustwa rekrutacyjne, zgodnie z nowymi badaniami Cisco Talos. Atakujący, powiązani z grupą powiązaną z Koreą Północną znaną jako Famous Chollima , podszywają się pod legalne firmy, aby oszukać ofiary i zmusić je do zainstalowania złośliwego oprogramowania ukrytego jako sterowniki wideo.

Grupa działa od co najmniej połowy 2024 r., wcześniej znana z taktyk, takich jak fałszywe oferty pracy dla programistów i oszukańcze procesy rozmów kwalifikacyjnych. Najnowsze odkrycie pokazuje, że operacja ewoluuje w wyrafinowaniu, teraz z nowym złośliwym oprogramowaniem opartym na Pythonie o nazwie PylangGhost, wariantem wcześniej zidentyfikowanego trojana GolangGhost.

Do ofiar zgłaszają się fałszywi rekruterzy oferujący stanowiska w firmach, które wydają się być w sektorze kryptowalut. Celami są często programiści, marketingowcy i projektanci z doświadczeniem w kryptowalutach.

Po nawiązaniu kontaktu ofiara zostaje przekierowana na fałszywą stronę z oceną umiejętności, która wygląda, jakby należała do prawdziwej firmy, w tym do tak znanych marek, jak Coinbase, Robinhood, Uniswap i innych.

Te strony wykorzystują framework React i ściśle naśladują prawdziwe interfejsy korporacyjne. Po wypełnieniu danych osobowych i ukończeniu testu kandydaci są informowani, że muszą nagrać wprowadzenie wideo dla zespołu rekrutacyjnego. Aby to zrobić, są proszeni o zainstalowanie „sterowników wideo” poprzez kopiowanie i wklejanie poleceń do swojego terminala.

Ten krok powoduje pobranie złośliwego oprogramowania.

Według wpisu na blogu Cicso Talos, jeśli ofiara postępuje zgodnie z instrukcjami w systemie Windows lub MacOS, pobierany jest złośliwy plik ZIP. Zawiera on trojana PylangGhost opartego na Pythonie i powiązane skrypty. Następnie złośliwe oprogramowanie rozpakowuje się, działa w tle i daje atakującym zdalny dostęp do komputera ofiary.

Wersja Python działa niemal identycznie jak jej odpowiednik oparty na Go. Instaluje się, aby działać przy każdym uruchomieniu systemu, zbiera informacje o systemie i łączy się z serwerem poleceń i kontroli. Po aktywacji może odbierać i wykonywać polecenia zdalne, zbierać dane uwierzytelniające i kraść dane przeglądarki, w tym hasła i klucze portfela kryptowalut .

Według Talosa, celem ataku jest ponad 80 różnych rozszerzeń przeglądarek, w tym popularne menedżery haseł i portfele cyfrowe, takie jak MetaMask, 1Password, NordPass i Phantom.

Malware używa szyfrowania RC4 do komunikacji ze swoim serwerem. Chociaż strumień danych jest szyfrowany, klucz szyfrowania jest wysyłany wraz z danymi, co ogranicza bezpieczeństwo tej metody. Mimo to konfiguracja pomaga mu wtopić się w regularny ruch i utrudnia wykrycie.

Cel tej operacji jest dwojaki. Po pierwsze, pozwala atakującym zbierać poufne dane osobowe od prawdziwych osób poszukujących pracy. Po drugie, otwiera drzwi dla fałszywych pracowników, którzy mogą zostać umieszczeni w prawdziwych firmach, co może prowadzić do długoterminowej infiltracji i dostępu do cennych danych finansowych lub infrastruktury oprogramowania.

Do tej pory potwierdzono tylko niewielką liczbę ofiar, głównie w Indiach. Użytkownicy Linuksa nie są dotknięci tą konkretną kampanią. Żaden klient Cisco nie wydaje się być dotknięty w tym czasie.

Talos zauważa, że ​​opracowanie złośliwego oprogramowania najwidoczniej nie wiązało się z generowaniem kodu przez sztuczną inteligencję, a struktura wersji w Pythonie i Go sugeruje, że obie zostały stworzone przez tych samych programistów.

Jeśli aplikujesz na stanowiska w branży kryptograficznej lub technologicznej, zachowaj ostrożność w przypadku ofert pracy, które wymagają instalacji oprogramowania lub uruchamiania poleceń terminala w ramach rozmowy kwalifikacyjnej. Legalne firmy nie będą tego wymagać.

Zespoły ds. cyberbezpieczeństwa powinny przejrzeć procesy wdrażania pracowników , zwłaszcza w przypadku zdalnych zatrudnień, i edukować personel na temat tego typu ataków socjotechnicznych. Monitorowanie nieoczekiwanych połączeń wychodzących lub dziwnych pobrań plików ZIP może również pomóc w wykryciu wczesnych oznak zagrożenia.