Indyjscy poszukiwacze pracy w branży kryptowalut stają w obliczu nowego zagrożenia ze strony złośliwego oprogramowania ze strony hakerów powiązanych z Koreą Północną

Według doniesień północnokoreańscy hakerzy powiązani z państwem obrali sobie za cel specjalistów od kryptowalut w Indiach nową, bardzo ukierunkowaną kampanię złośliwego oprogramowania. firma zajmująca się cyberbezpieczeństwem Cisco Talos. Napastnicy, zidentyfikowani jako grupa znana jako Słynna Chollima, wykorzystują fałszywe rozmowy kwalifikacyjne i fałszywe witryny testujące umiejętności, aby infekować urządzenia użytkowników nowym trojanem zdalnego dostępu (RAT) opartym na Pythonie, zwanym Duch Pylanga.

Ta operacja, trwająca od połowy 2024 roku, stanowi najnowszy rozdział w coraz bardziej intensywnych działaniach Korei Północnej w zakresie szpiegostwa kryptograficznego. Analitycy Cisco Talos ujawnili, że atakujący podszywają się pod rekruterów znanych firm kryptowalutowych, takich jak Coinbase. Uniswap, Robinhood i Archblock. Ich głównymi odbiorcami są inżynierowie oprogramowania, specjaliści ds. marketingu i inni specjaliści w dziedzinie blockchain i aktywów cyfrowych.

Przynęty na pracę i fałszywe rozmowy kwalifikacyjne

Kampania rozpoczyna się od socjotechniki. Ofiary są kontaktowane przez rzekomych rekruterów i zapraszane do odwiedzenia przekonujących replik prawdziwych stron firmowych z ofertami pracy. Strony te zawierają testy sprawdzające umiejętności i wymagają podania poufnych informacji, takich jak imię i nazwisko, CV, adres portfela i dane uwierzytelniające.

Kandydaci są następnie instruowani, aby włączyć dostęp do kamery i mikrofonu na potrzeby rozmowy wideo. W tej fazie fałszywi rekruterzy proszą ofiary o uruchomienie pewnych poleceń – zamaskowanych jako instalacje sterowników wideo – które uruchamiają instalację… Duch Pylanga złośliwe oprogramowanie.

Cisco Talos potwierdziło, że RAT daje hakerom pełną zdalną kontrolę nad zainfekowanymi systemami i jest w stanie wykraść dane uwierzytelniające i pliki cookie z ponad 80 rozszerzeń przeglądarki. Należą do nich powszechnie używane menedżery haseł i portfele kryptowalut, takie jak MetaMask, 1Password, NordPass, Phantom, TronLink i MultiverseX.

Zaawansowane złośliwe oprogramowanie z trwałym dostępem

PylangGhost to oparta na Pythonie ewolucja wcześniej znanego zagrożenia o nazwie Duch Golanga. Nowy wariant ma na celu Systemy Windows wyłącznie i ma na celu eksfiltrację danych i utrzymanie stałego dostępu do zainfekowanych maszyn. Według Cisco Talos, systemy Linux wydają się nietknięte tą falą ataków.

Szkodliwe oprogramowanie może wykonywać szeroki zakres poleceń: robić zrzuty ekranu, zbierać dane systemowe, zarządzać plikami i zapewniać ciągłą zdalną kontrolę. Działa za pośrednictwem wielu serwerów poleceń zarejestrowanych w domenach, które wydają się wiarygodne, takich jak: quickcamfix.online or autodriverfix.online.

W przeciwieństwie do wcześniejszych oszustw, ta kampania nie koncentruje się na masowym phishingu ani bezpośredniej kradzieży z giełd. Zamiast tego jest to chirurgiczny atak wymierzony w profesjonalistów z sektora kryptowalut, osoby mające dostęp do kluczowej infrastruktury, narzędzi wewnętrznych i poufnych danych.

Indie: cel o wysokiej wartości

Indie, jeden z najszybciej rozwijających się ośrodków rozwoju technologii blockchain, stały się głównym celem. Wielu specjalistów pracujących nad globalnymi platformami kryptowalutowymi ma siedzibę w tym kraju, a ta nowa strategia wpisuje się bezpośrednio w koncentrację talentów.

Zgodnie z Dileep Kumar HV, dyrektor Digital South Trust, Indie potrzebują pilnych reform, aby stawić czoła tego typu zagrożeniom. Wezwał do obowiązkowe audyty cyberbezpieczeństwa dla firm blockchain, wzmożony monitoring fałszywych portali z ofertami pracy oraz reformy prawne na mocy indyjskiej ustawy o technologii informacyjnej.

Odkryj obiecujące projekty...

Obiecujące projekty...

(Reklama)

Artykuł ciąg dalszy...

Wezwał również agencje rządowe, takie jak: CERT-In, MEITY, NCIIPC zacieśnienie współpracy i uruchomienie kampanii podnoszących świadomość społeczną, a także dzielenie się informacjami wywiadowczymi z innymi jurysdykcjami.

Rosnący wzór szpiegostwa cyfrowego

Fałszywe oferty pracy stały się stałym narzędziem w północnokoreańskich cybernetycznych podręcznikach. Grupa Lazarus, inny kolektyw hakerów powiązany z Koreą Północną, zastosował podobną taktykę wcześniej w 2024 roku. stworzony fałszywe firmy z siedzibą w USA, takie jak BlokNovas LLC oraz SoftGlide LLC aby zwabić twórców kryptowalut na wywiady pełne złośliwego oprogramowania.

W jednym z incydentów hakerzy Lazarus podszywali się pod byłych kontrahentów, aby włamać się do Radiant Capital, co doprowadziło do straty 50 milionów dolarów. Wspólne oświadczenie Japonii, Korei Południowej i Stanów Zjednoczonych niedawno potwierdziło, że Grupy powiązane z Koreą Północną ukradły kryptowaluty o wartości 659 milionów dolarów tylko w 2024 roku.

Kampanie te nie ograniczają się wyłącznie do kradzieży. Ich celem jest coraz częściej gromadzenie informacji wywiadowczych i infiltracja firm kryptowalutowych od wewnątrz. Ostatecznym celem wydaje się być zarówno zysk finansowy, jak i strategiczna kontrola nad systemami i danymi blockchain.

Środki zaradcze i droga naprzód

Raport Cisco Talos to sygnał ostrzegawczy dla specjalistów z sektora kryptowalut. Firma zaleca wzmożoną czujność podczas poszukiwania pracy, zwłaszcza w przypadku kontaktów z nowymi platformami, nieznanymi rekruterami lub nieznanymi adresami URL.

Specjaliści powinni:

• Unikaj instalowania oprogramowania i uruchamiania poleceń podczas rozmów kwalifikacyjnych.
• Zweryfikuj wiarygodność firm i rekruterów.
• Korzystaj z ochrony punktów końcowych i narzędzi antywirusowych.
• Regularnie aktualizuj hasła i włącz uwierzytelnianie dwuskładnikowe.

Firmy powinny również zaostrzyć kontrole wewnętrzne i przeszkolić personel w zakresie wykrywania i zgłaszania prób socjotechniki.