Bedrohung durch Nordkoreanische Hacker
Ein mit Nordkorea verbundener Bedrohungsakteur hat es auf Arbeitssuchende in der Krypto-Industrie abgesehen, indem er neue Malware eingesetzt hat, die darauf abzielt, Passwörter für Krypto-Wallets und Passwort-Manager zu stehlen. Cisco Talos berichtete am Mittwoch, dass ein neuer, auf Python basierender Trojaner (RAT) entdeckt wurde, den die Forscher PylangGhost nannten. Diese Malware wird mit einem nordkoreanisch-affilierten Hacker-Kollektiv namens „Famous Chollima“ in Verbindung gebracht, das auch unter dem Namen „Wagemole“ bekannt ist.
Zielgerichtete Angriffe auf Krypto-Professionals
Die Hacker-Gruppe richtet sich an Arbeitssuchende und Beschäftigte mit Erfahrung in Kryptowährungen und Blockchain-Technologien, hauptsächlich in Indien. Die Angriffe erfolgen über gefälschte Vorstellungsgespräche und sozialtechnische Manipulation. Es ist offensichtlich, dass die „Famous Chollima“-Gruppe gezielt Personen mit entsprechender Erfahrung in der Krypto- und Blockchain-Branche anvisiert.
Methoden der Angreifer
Die Angreifer erstellen betrügerische Jobseiten, die rechtmäßige Unternehmen wie Coinbase, Robinhood und Uniswap nachahmen. Die Opfer werden von gefälschten Recruitern kontaktiert, die Einladungen zu Fähigkeiten-Tests versenden, um vertrauliche Informationen zu sammeln. Nach dieser ersten Kontaktaufnahme werden die Opfer veranlasst, Video- und Kamerazugriffe für gefälschte Interviews zuzulassen, während sie dazu gebracht werden, bösartige Befehle zu kopieren und auszuführen, unter dem Vorwand, aktualisierte Video-Treiber zu installieren, was letztendlich zur Kompromittierung ihrer Geräte führt.
Funktionalitäten von PylangGhost
PylangGhost ist eine Variante des zuvor dokumentierten GolangGhost RAT und verfügt über ähnliche Funktionalitäten. Bei der Ausführung ermöglicht die Malware die Fernsteuerung des infizierten Systems und den Diebstahl von Cookies sowie Anmeldedaten aus über 80 Browsererweiterungen. Dazu zählen Passwort-Manager und Krypto-Wallets wie MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink und MultiverseX.
Weiterführende Fähigkeiten der Malware
Zusätzlich zu ihrer Hauptfunktion kann die Malware eine Vielzahl von Aufgaben ausführen und zahlreiche Befehle umsetzen, einschließlich des Erfassens von Screenshots, der Verwaltung von Dateien, dem Stehlen von Browserdaten sowie dem Sammeln von Systeminformationen und der Aufrechterhaltung des Fernzugriffs auf infizierte Geräte. Die Forscher stellten auch fest, dass es unwahrscheinlich ist, dass die Bedrohungsakteure ein KI-Sprachmodell zur Unterstützung bei der Codeerstellung verwendet haben, basierend auf den Kommentaren im Code.
Frühere Angriffe von Nordkoreanischen Hackern
Es ist nicht das erste Mal, dass mit Nordkorea verbundene Hacker gefälschte Jobangebote und Interviews nutzen, um ihre Opfer anzulocken. Im April wurden Hacker, die mit dem Überfall auf Bybit im Wert von 1,4 Milliarden Dollar in Verbindung standen, aktiv auf Krypto-Entwickler aus, indem sie gefälschte Rekrutierungstests verwendeten, die mit Malware infiziert waren.
