กลุ่มแฮ็กเกอร์เกาหลีเหนือเล็งเป้าหมายผู้ทำงานในวงการคริปโตด้วยมัลแวร์ใหม่เพื่อขโมยข้อมูล

กลุ่มแฮ็กเกอร์เกาหลีเหนือโจมตีผู้หางานในวงการคริปโต

กลุ่มแฮ็กเกอร์ที่สังกัดเกาหลีเหนือได้เริ่ม โจมตีผู้หางานในวงการคริปโต โดยใช้มัลแวร์ใหม่ที่ออกแบบมาเพื่อ ขโมยรหัสผ่าน สำหรับกระเป๋าเงินดิจิทัลและผู้จัดการรหัสผ่าน สถาบัน Cisco Talos ได้รายงานเมื่อวันพุธที่ผ่านมาว่าพบ Trojan Remote Access (RAT) ตัวใหม่ที่พัฒนาจากภาษา Python ซึ่งมีชื่อว่า “PylangGhost” และเชื่อมโยงกับกลุ่มแฮ็กเกอร์ที่เรียกว่า “Famous Chollima” หรือ “Wagemole”

กลุ่มนี้ได้ทำการโจมตีเป้าหมายที่เป็นผู้หางานและพนักงานที่มีประสบการณ์เกี่ยวกับ คริปโตเคอเรนซี และ บล็อกเชน โดยเฉพาะในประเทศอินเดีย ผ่านแคมเปญการสัมภาษณ์งานที่ปลอมขึ้นโดยใช้ เทคนิคสังคมวิศวกรรม.

“จากตำแหน่งงานที่โฆษณา มันชัดเจนว่ากลุ่ม Famous Chollima กำลังเล็งเป้าหมายบุคคลที่มีประสบการณ์ในด้านเทคโนโลยีคริปโตเคอเรนซีและบล็อกเชนอย่างกว้างขวาง”

กลยุทธ์และการล่อเหยื่อ

เว็บไซต์งานปลอมและการทดสอบได้กลายเป็นการปกปิดมัลแวร์ ผู้โจมตีได้สร้างเว็บไซต์งานปลอมที่แอบอ้างเป็นบริษัทที่มีชื่อเสียง เช่น Coinbase, Robinhood และ Uniswap โดยล่อเหยื่อผ่านกระบวนการหลายขั้นตอน รวมถึงการติดต่อเริ่มต้นจากผู้สรรหางานปลอมที่ส่งคำเชิญไปยังเว็บไซต์ทดสอบทักษะ ซึ่งมีการเก็บข้อมูลเกิดขึ้น.

จากนั้น เหยื่อถูกหลอกให้เปิดใช้งานการเข้าถึงวิดีโอและกล้องเพื่อสัมภาษณ์ปลอม ในระหว่างนั้นพวกเขาถูกหลอกให้คัดลอกและทำตามคำสั่งที่เป็นอันตรายภายใต้การหลอกลวงในการติดตั้ง ไดรเวอร์วิดีโอใหม่ ทำให้เกิดความเสียหายต่ออุปกรณ์ของพวกเขา.

การทำงานของมัลแวร์ PylangGhost

Payload ของ PylangGhost มุ่งเป้าไปที่กระเป๋าเงินคริปโต โดย PylangGhost เป็นตัวแปรใหม่ของ GolangGhost RAT ที่มีฟังก์ชันการทำงานที่คล้ายกัน ตามรายงานของ Cisco Talos เมื่อทำการเรียกใช้ คำสั่งจะเปิดให้ควบคุมระยะไกลของระบบที่ติดเชื้อ และสามารถ ขโมยคุกกี้และรหัสประจำตัว จากส่วนขยายเบราว์เซอร์มากกว่า 80 รายการ ซึ่งรวมถึงผู้จัดการรหัสผ่านและกระเป๋าเงินคริปโตต่าง ๆ เช่น MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink และ MultiverseX.

มัลแวร์นี้ยังมีความสามารถในการทำกิจกรรมอื่น ๆ และดำเนินการตามคำสั่งหลายอย่าง รวมทั้งการ ถ่ายภาพหน้าจอ, จัดการไฟล์, ขโมยข้อมูลเบราว์เซอร์, รวบรวมข้อมูลระบบ และรักษาการเข้าถึงระยะไกลไปยังระบบที่ติดเชื้อ นักวิจัยได้ให้ข้อสังเกตว่าไม่น่าจะมีภัยคุกคามที่ใช้ โมเดลปัญญาประดิษฐ์ ขนาดใหญ่ในการช่วยเขียนโค้ด เนื่องจากความคิดเห็นที่ปรากฏภายในมัน.

การโจมตีที่เกิดขึ้นในอดีต

การล่อลวงด้วยงานปลอมไม่ใช่เรื่องใหม่ สำหรับกลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับเกาหลีเหนือเอง ในเดือนเมษายนที่ผ่านมา แฮ็กเกอร์ที่เกี่ยวข้องกับการโจรกรรมจาก Bybit มูลค่า 1.4 พันล้านดอลลาร์ก็ได้ทำการโจมตีผู้พัฒนาคริปโตด้วยการทดสอบการสรรหาที่ปลอมซึ่งติดเชื้อมัลแวร์เช่นกัน.