Aktor Ancaman Korea Utara Targetkan Pencari Kerja di Cryptocurrency
Seorang aktor ancaman terkait Korea Utara telah menargetkan pencari kerja di industri cryptocurrency dengan malware baru yang dirancang untuk mencuri kata sandi dompet cryptocurrency dan pengelola kata sandi. Cisco Talos melaporkan pada hari Rabu bahwa mereka telah menemukan trojan akses jarak jauh (RAT) berbasis Python yang mereka sebut PylangGhost. Malware ini dihubungkan dengan kelompok peretasan yang terafiliasi dengan Korea Utara yang dikenal sebagai Famous Chollima, yang juga disebut Wagemole.
Target dan Metode Serangan
Grup peretasan ini secara khusus menargetkan pencari kerja dan karyawan yang memiliki pengalaman di bidang cryptocurrency dan blockchain, terutama di India. Serangan tersebut dilakukan melalui kampanye wawancara kerja palsu yang menggunakan teknik rekayasa sosial. Cisco Talos menyatakan,
“Berdasarkan posisi yang diiklankan, jelas bahwa Famous Chollima secara luas menargetkan individu yang memiliki pengalaman sebelumnya dalam teknologi cryptocurrency dan blockchain.”
Situs Pekerjaan Palsu dan Ujian untuk Menyebarkan Malware
Para penyerang menciptakan situs pekerjaan palsu yang menyamar sebagai perusahaan-perusahaan terkemuka, seperti Coinbase, Robinhood, dan Uniswap. Korban dibimbing melalui proses multistage, termasuk kontak awal dari rekruter palsu yang mengirimkan undangan untuk mengakses situs pengujian keterampilan, di mana pengumpulan informasi terjadi.
Selanjutnya, para korban dijebak untuk mengaktifkan akses video dan kamera untuk wawancara palsu, sementara mereka ditipu untuk menyalin dan menjalankan perintah jahat dengan dalih menginstal driver video yang diperbarui, yang akhirnya mengakibatkan kompromi perangkat mereka.
Kandungan Malware PylangGhost
PylangGhost merupakan varian dari GolangGhost RAT yang telah didokumentasikan sebelumnya, dengan fungsi yang serupa, seperti yang diungkapkan oleh Cisco Talos. Setelah dieksekusi, perintah-perintah tersebut memberikan kontrol jarak jauh atas sistem yang terinfeksi, serta memungkinkan pencurian cookie dan kredensial dari lebih dari 80 ekstensi browser, termasuk pengelola kata sandi dan dompet cryptocurrency seperti MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink, dan MultiverseX.
Malware yang Multifungsi
Malware ini mampu melaksanakan berbagai tugas, termasuk mengambil tangkapan layar, mengelola file, mencuri data browser, mengumpulkan informasi sistem, serta mempertahankan akses jarak jauh ke sistem yang terinfeksi. Para peneliti juga mencatat bahwa kemungkinan para aktor ancaman menggunakan model bahasa besar berbasis kecerdasan buatan untuk membantu menulis kode, terlihat dari komentar yang ada di dalamnya.
Pancingan Pekerjaan Palsu Sebagai Taktik
Ini bukan kali pertama peretas yang terkait dengan Korea Utara memanfaatkan pekerjaan dan wawancara palsu untuk memancing korbannya. Pada bulan April, peretas yang terhubung dengan pembobolan Bybit senilai $1,4 miliar juga menargetkan pengembang cryptocurrency dengan menggunakan tes rekrutmen palsu yang terinfeksi malware.
