Isang Banta mula sa Hilagang Korea
Isang banta na konektado sa Hilagang Korea ang nakatuon sa mga naghahanap ng trabaho sa industriya ng cryptocurrency gamit ang isang bagong malware na dinisenyo upang magnakaw ng mga password para sa mga crypto wallets at password managers. Nag-ulat ang Cisco Talos noong Miyerkules ng isang bagong remote access trojan (RAT) na tinatawag na “PylangGhost,” na iniuugnay ito sa isang grupo ng mga hacker mula sa Hilagang Korea na kilala bilang “Famous Chollima” o “Wagemole.” Ang grupong ito ay may sariling kagamitan sa pag-atake at nagtutok ito sa mga indibidwal na may karanasan sa cryptocurrency at blockchain, lalo na sa India, sa pamamagitan ng mga inorganisang pekeng kampanya ng panayam gamit ang social engineering.
Ang Tatlong Hakbang na Paraan ng Pag-atake
Nilinang ng mga umaatake ang mga pekeng website ng trabaho na nagkukubli bilang mga lehitimong kumpanya, tulad ng Coinbase, Robinhood, at Uniswap. Ang mga biktima ay ginagabayan sa isang multi-step na proseso na nagsisimula sa pakikipag-ugnayan mula sa mga pekeng recruiter. Ipinapadala ang mga imbitasyon sa mga website para sa pagsusuri ng kasanayan kung saan nagaganap ang pangangalap ng impormasyon.
Pagkatapos nito, ang mga biktima ay hinihimok na i-enable ang video at camera access para sa mga pekeng panayam. Sa mga panayam na ito, binibiktima sila ng mga utos na kanilang kinokopya at pinapatakbo sa ilalim ng panggagaya ng pag-install ng mga updated video drivers, na nagreresulta sa pagkakaroon ng kontrol ng kanilang device ang mga hacker.
Target ng Pondo: Mga Crypto Wallet
Ayon sa Cisco Talos, ang PylangGhost ay isang variant ng naunang naiulat na GolangGhost RAT at may parehong mga kakayahan. Sa paggamit nito, ang mga utos ay nagbibigay-daan para sa remote control sa nahawahang sistema at pagnanakaw ng cookies at credentials mula sa higit sa 80 browser extensions. Kasama dito ang mga password managers at cryptocurrency wallets gaya ng MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink, at MultiverseX.
Maraming Gawain ng Malware
Ang malware na ito ay mayroon ding kakayahang magsagawa ng iba pang mga operasyon, tulad ng pagkuha ng mga screenshot, pamamahala ng mga file, pagnanakaw ng data mula sa browser, at pagpapanatili ng remote access sa mga nahawahang sistema. Napansin din ng mga mananaliksik na hindi malamang na gumagamit ang mga aktor ng banta ng isang artipisyal na intelligence large language model para sa pagsusulat ng code batay sa mga natagpuan na komento mula dito.
Hindi Ito Bago
Hindi ito ang unang pagkakataon na ginagamit ng mga hacker na konektado sa Hilagang Korea ang pekeng trabaho at panayam upang makahikayat ng mga biktima. Noong Abril, ang mga hacker na kaugnay ng $1.4 bilyong Bybit heist ay nagtutok sa mga developer ng cryptocurrency gamit ang mga pekeng recruitment tests na nahawahan ng malware.
