Attacco Maligno nel Settore delle Criptovalute
Un attore malevolo associato alla Corea del Nord ha preso di mira i cercatori di lavoro nel settore delle criptovalute con un nuovo malware progettato per rubare le password dei portafogli crypto e dei gestori di password.
Scoperta di PylangGhost
Cisco Talos ha riportato mercoledì di aver scoperto un nuovo Trojan di accesso remoto (RAT) basato su Python, denominato “PylangGhost.”
Il malware è collegato a un collettivo di hacker noto come “Famous Chollima,” anche conosciuto come “Wagemole.” Questo gruppo di hacker ha puntato su cercatori di lavoro e professionisti del settore, in particolare in India, utilizzando attacchi basati su false campagne di assunzione attraverso ingegneria sociale.
“In base alle posizioni pubblicizzate, è chiaro che il Famous Chollima sta cercando di colpire un ampio spettro di individui con precedenti esperienze in tecnologie di criptovalute e blockchain.”
Strategia di Attacco
Gli aggressori creano siti di lavoro fraudolenti imitanti aziende legittime, come Coinbase, Robinhood e Uniswap, e conducono le vittime attraverso un processo in più fasi. Questo processo inizia con un contatto da parte di recruiter falsi che inviano inviti a siti web di test delle competenze, dove avviene la raccolta delle informazioni.
Dopo una fase di adesione, le vittime vengono indotte ad abilitare l’accesso video e alla fotocamera per colloqui fittizi, durante i quali vengono ingannate nel copiare ed eseguire comandi malevoli, sotto il pretesto di installare driver video aggiornati, compromettendo così i loro dispositivi.
Funzionalità del Malware
PylangGhost è una variante del RAT GolangGhost precedentemente documentato e condivide funzionalità simili, come riportato da Cisco Talos. Al momento dell’esecuzione, gli attivi comandi abilitano il controllo remoto del sistema infetto e il furto di cookie e credenziali da oltre 80 estensioni del browser. Queste includono gestori di password e portafogli di criptovalute, come MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink e MultiverseX.
Il malware è in grado di eseguire ulteriori operazioni e diversi comandi, tra cui acquisire schermate, gestire file, rubare dati del browser e raccogliere informazioni di sistema, mantenendo così l’accesso remoto ai sistemi infettati.
Utilizzo di Tecniche di Ingegneria Sociale
I ricercatori hanno anche notato che è improbabile che gli attori malevoli abbiano utilizzato modelli di linguaggio di intelligenza artificiale per redigere il codice, basandosi sui commenti presenti all’interno dello stesso.
Non è la prima volta che hacker associati alla Corea del Nord utilizzano posti di lavoro e colloqui fittizi per attrarre le proprie vittime. Ad aprile, hacker legati al furto di 1,4 miliardi di dollari da Bybit avevano preso di mira sviluppatori crypto usando falsi test di assunzione infettati con malware.
