Persoanele care caută un loc de muncă în domeniul criptomonedelor din India se confruntă cu o nouă amenințare malware din partea hackerilor cu legături cu Coreea de Nord

Hackerii nord-coreeni legați de statul nord-coreean vizează profesioniștii în domeniul criptomonedelor din India cu o nouă campanie de malware extrem de bine direcționată, potrivit... firma de securitate cibernetică Cisco TalosAtacatorii, identificați ca un grup cunoscut sub numele de Chollima faimoasă, folosesc interviuri de angajare false și site-uri web frauduloase de testare a competențelor pentru a infecta dispozitivele utilizatorilor cu un nou troian de acces la distanță (RAT) bazat pe Python, numit PylangGhost.

Această operațiune, activă de la mijlocul anului 2024, marchează cel mai recent capitol din eforturile tot mai ample de spionaj cripto al Coreei de Nord. Cercetătorii Cisco Talos au dezvăluit că atacatorii se prezintă drept recrutori pentru firme cripto de profil înalt, cum ar fi Coinbase. uniswap, Robinhood și Archblock. Țintele lor principale: ingineri software, profesioniști în marketing și alți specialiști în blockchain și active digitale.

Atracții pentru locuri de muncă și interviuri false

Campania începe cu inginerie socială. Victimele sunt contactate de presupuși recrutori și invitate să viziteze replici convingătoare ale unor pagini de carieră legitime ale companiilor. Aceste site-uri oferă teste de evaluare a competențelor și solicită informații sensibile, cum ar fi nume complete, CV-uri, adrese de portofel și acreditări.

Candidații sunt apoi instruiți să activeze accesul la cameră și microfon pentru un interviu video. În această fază, recrutorii falși le cer victimelor să execute anumite comenzi - deghizate în instalări de drivere video - care declanșează instalarea... PylangGhost malware-ului.

Cisco Talos a confirmat că RAT oferă hackerilor control complet de la distanță asupra sistemelor infectate și este capabil să fure acreditări și cookie-uri din peste 80 de extensii de browser. Acestea includ manageri de parole utilizați pe scară largă și portofele de criptomonede, cum ar fi MetaMask, 1Password, NordPass, Phantom, TronLink și MultiverseX.

Malware avansat cu acces persistent

PylangGhost este o evoluție bazată pe Python a unei amenințări cunoscute anterior numită GolangGhostNoile variante vizează Sisteme Windows exclusiv și este conceput pentru a exfiltra datele și a menține accesul persistent la mașinile compromise. Sistemele Linux, potrivit Cisco Talos, par a fi neatinse de acest val de atacuri.

Malware-ul poate executa o gamă largă de comenzi: poate face capturi de ecran, poate colecta detalii despre sistem, poate gestiona fișiere și poate stabili un control de la distanță continuu. Acesta funcționează prin intermediul mai multor servere de comandă și control înregistrate sub domenii care par credibile, cum ar fi quickcamfix.online or autodriverfix.online.

Spre deosebire de escrocheriile anterioare, această campanie nu se concentrează pe phishing-ul în masă sau pe furtul direct de pe exchange-uri. În schimb, este un atac chirurgical care vizează profesioniștii din sectorul cripto, cei cu acces la infrastructură cheie, instrumente interne și date sensibile.

India: o țintă de mare valoare

India, unul dintre centrele cu cea mai rapidă creștere pentru dezvoltarea blockchain, a devenit o țintă principală. Mulți profesioniști care lucrează pe platforme cripto globale își au sediul în țară, iar această nouă strategie contribuie direct la concentrarea talentelor.

În conformitate cu Dileep Kumar HV, director la Digital South Trust, India are nevoie de reforme urgente pentru a face față acestui tip de amenințare. El a cerut audituri obligatorii de securitate cibernetică pentru firmele blockchain, o monitorizare sporită a portalurilor de locuri de muncă false și reforme legislative în temeiul Legii IT din India.

Descoperă proiecte promițătoare...

Proiecte promițătoare...

(Publicitate)

Articolul continuă...

De asemenea, el a îndemnat agențiile guvernamentale precum CERT-In, MEITY și NCIIPC să intensifice colaborarea și să lanseze campanii de conștientizare publică, precum și să facă schimb de informații cu alte jurisdicții.

Un model tot mai mare de spionaj digital

Ofertele de muncă false au devenit un instrument constant în strategiile cibernetice nord-coreene. Grupul Lazarus, un alt colectiv de hackeri cu legături nord-coreene, a folosit o tactică similară la începutul anului 2024. Ei a creat companii false cu sediul în SUA, cum ar fi BlockNovas LLC și SoftGlide LLC pentru a atrage dezvoltatorii de criptomonede în interviuri pline de programe malware.

Într-un incident, hackerii Lazarus s-au dat drept foști contractori pentru a sparge datele companiei Radiant Capital, ceea ce a dus la o pierdere de 50 de milioane de dolari. O declarație comună a Japoniei, Coreei de Sud și SUA a confirmat recent acest lucru. Grupări legate de Coreea de Nord au furat 659 de milioane de dolari în criptomonede numai în 2024.

Aceste campanii nu se referă doar la furt. Ele vizează din ce în ce mai mult colectarea de informații și infiltrarea firmelor de criptomonede din interior. Scopul final pare a fi atât câștigul financiar, cât și controlul strategic asupra sistemelor și datelor blockchain.

Contramăsuri și calea de urmat

Raportul Cisco Talos este un semnal de alarmă pentru profesioniștii din sectorul cripto. Firma recomandă o vigilență sporită în timpul procesului de căutare a unui loc de muncă, în special atunci când interacționează cu platforme noi, recrutori necunoscuți sau adrese URL necunoscute.

Profesioniștilor li se recomandă:

• Evitați instalarea de software sau rularea de comenzi în timpul interviurilor de angajare.
• Verificați legitimitatea companiilor și a recrutorilor.
• Folosește protecția endpoint-urilor și instrumente anti-malware.
• Actualizați în mod regulat parolele și activați autentificarea cu doi factori.

Companiile ar trebui, de asemenea, să consolideze controalele interne și să se asigure că personalul este instruit să identifice și să raporteze tentativele de inginerie socială.