北朝鮮関連の脅威アクターによる新たなマルウェア
北朝鮮に関連する脅威アクターが、暗号通貨業界の求職者を標的にした新たなマルウェアを使用し、暗号ウォレットやパスワードマネージャーのパスワードを盗み取っています。シスコ・タロスは水曜日に、Pythonベースのリモートアクセス型トロイの木馬(RAT)「PylangGhost」を発見し、このマルウェアが「著名なチョリマ」と呼ばれる北朝鮮系のハッキング集団に関連付けられることを報告しました。このハッキンググループは主にインドで、暗号通貨やブロックチェーンに関する経験を持つ求職者や従業員を狙っており、社会工学的手法を用いた偽の面接キャンペーンを通じて攻撃を実施しています。広告されているポジションから推測すると、著名なチョリマは暗号通貨やブロックチェーン技術に関するスキルを持つ個人を幅広く狙っていることが明らかです。
偽の求人サイトとマルウェアの隠れ蓑
攻撃者は、Coinbase、Robinhood、Uniswapなどの本物の企業を偽装した詐欺的な求人サイトを作成し、被害者を複数のステップを経るプロセスに誘導します。その初期段階には、偽の採用担当者からの接触があり、スキルテスト用のウェブサイトへの招待を通じて情報を収集します。
次に、被害者は偽の面接のためにビデオカメラのアクセスを有効にするように促され、その際、最新のビデオドライバーをインストールする名目で悪意のあるコマンドをコピーして実行するよう仕向けられ、デバイスが侵害される事態に陥ります。
ペイロードは暗号ウォレットをターゲット
PylangGhostは以前に文書化されたGolangGhost RATのバリエーションとされ、同様の機能を持っています。実行時には感染したシステムのリモート制御を可能とし、80以上のブラウザ拡張機能からクッキーや認証情報が盗まれることが報告されています。これには、MetaMask、1Password、NordPass、Phantom、Bitski、Initia、TronLink、MultiverseXなどのパスワードマネージャーや暗号ウォレットが含まれます。
マルチタスクのマルウェア
このマルウェアはスクリーンショットの取得、ファイルの管理、ブラウザデータの盗用、システム情報の収集、感染したシステムへのリモートアクセスの維持など、多様なタスクを実行できます。研究者たちは、マルウェア内のコメントに基づき、脅威アクターがAIを用いた大規模言語モデルでコードの作成を補助している可能性は低いと指摘しています。
偽求人の誘惑は新しくない
北朝鮮に関連するハッカーが偽の求人や面接を利用して犠牲者を引き寄せる行為はこれが初めてではありません。4月には、14億ドルものBybitの盗難に関連するハッカーが、マルウェアに感染させるための偽の採用テストを用いて暗号通貨開発者をターゲットとしていました。
