Nuevo malware de Corea del Norte dirigido a buscadores de empleo en criptomonedas
Un actor de amenazas vinculado a Corea del Norte ha estado atacando a quienes buscan empleo en la industria de las criptomonedas con un nuevo malware diseñado para robar contraseñas de billeteras de criptomonedas y administradores de contraseñas. Cisco Talos informó este miércoles que descubrió un nuevo troyano de acceso remoto (RAT) basado en Python, al que ha denominado “PylangGhost”, vinculando el malware a un colectivo de hackers afiliado a Corea del Norte conocido como “Famous Chollima”, o “Wagemole”. Este grupo ha estado dirigiendo sus ataques a trabajadores que buscan empleo y a profesionales con experiencia en criptomonedas y blockchain, principalmente en India, llevando a cabo estas operaciones mediante campañas de entrevistas falsas que utilizan ingeniería social.
“De los puestos anunciados, está claro que Famous Chollima se está enfocando en individuos con experiencia previa en tecnologías de criptomonedas y blockchain.”
Utilización de sitios de trabajo falsos
Los atacantes crean sitios de trabajo fraudulentos que suplantan a empresas legítimas, como Coinbase, Robinhood y Uniswap. Las víctimas son guiadas a través de un proceso que incluye un contacto inicial de reclutadores falsos que envían invitaciones a sitios web de pruebas de habilidades, donde se recoge información personal.
Posteriormente, las víctimas son inducidas a habilitar el acceso a video y cámara para entrevistas falsas, durante las cuales son manipuladas para copiar y ejecutar comandos maliciosos bajo el pretexto de instalar controladores de video actualizados, comprometiendo así sus dispositivos.
Carga útil del malware
PylangGhost es una variante del RAT GolangGhost, previamente documentado, y comparte funcionalidades similares, según Cisco Talos. Al ejecutarse, los comandos permiten el control remoto del sistema infectado y el robo de cookies y credenciales de más de 80 extensiones de navegador. Esto incluye administradores de contraseñas y billeteras de criptomonedas como MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink y MultiverseX.
Características del malware
El malware no solo roba información sino que también puede realizar diversas tareas y ejecutar múltiples comandos, incluyendo tomar capturas de pantalla, gestionar archivos, robar datos del navegador, recopilar información del sistema y mantener acceso remoto a los sistemas infectados. Los investigadores también señalaron que era poco probable que los actores de amenazas utilizaran un modelo de lenguaje de inteligencia artificial para ayudar a escribir el código, basándose en los comentarios realizados dentro del mismo.
Antecedentes de ofertas de trabajo falsas
No es la primera vez que hackers vinculados a Corea del Norte emplean trabajos y entrevistas falsas para atraer a sus víctimas. En abril, se reportó que hackers vinculados al robo de 1.4 mil millones de dólares de Bybit estaban apuntando a desarrolladores de criptomonedas mediante pruebas de reclutamiento falsas infectadas con malware.
