Търсещите работа в криптовалутите в Индия са изправени пред нова заплаха от зловреден софтуер от хакери, свързани със Северна Корея

Свързани с държавата севернокорейски хакери са насочени към професионалисти в областта на криптовалутите в Индия с нова и силно насочена кампания за зловреден софтуер, според... фирма за киберсигурност Cisco TalosНападателите, идентифицирани като група, известна като Известната Чолима, използват фалшиви интервюта за работа и измамни уебсайтове за тестване на умения, за да заразят устройствата на потребителите с нов троянски кон за отдалечен достъп (RAT), базиран на Python, наречен PylangGhost.

Тази операция, активна от средата на 2024 г., бележи последната глава в разширяващите се усилия на Северна Корея за крипто шпионаж. Изследователи на Cisco Talos разкриха, че нападателите се представят за вербовчици за известни крипто фирми като Coinbase, Отменете, Robinhood и Archblock. Основните им целеви групи: софтуерни инженери, маркетингови специалисти и други специалисти по блокчейн и дигитални активи.

Примамки за работа и фалшиви интервюта

Кампанията започва със социално инженерство. Жертвите се свързват с предполагаеми работодатели и се канят да посетят убедителни копия на легитимни страници за кариери на компании. Тези сайтове предлагат тестове за оценка на уменията и изискват чувствителна информация като пълни имена, автобиографии, адреси на портфейли и идентификационни данни.

След това кандидатите биват инструктирани да активират достъп до камерата и микрофона за видео интервю. По време на тази фаза фалшивите вербовчици молят жертвите да изпълнят определени команди – маскирани като инсталации на видео драйвери – които задействат инсталирането на PylangGhost зловреден софтуер.

Cisco Talos потвърди, че RAT дава на хакерите пълен дистанционен контрол над заразените системи и е способен да краде идентификационни данни и бисквитки от над 80 разширения на браузъра. Те включват широко използвани мениджъри на пароли и портфейли с криптовалута като MetaMask, 1Password, NordPass, Phantom, TronLink и MultiverseX.

Усъвършенстван зловреден софтуер с постоянен достъп

PylangGhost е базирана на Python еволюция на вече известна заплаха, наречена GolangGhostНовият вариант е насочен към Windows системи изключително и е предназначен за извличане на данни и поддържане на постоянен достъп до компрометирани машини. Linux системите, според Cisco Talos, изглеждат незасегнати от тази вълна от атаки.

Зловредният софтуер може да изпълнява широк набор от команди: правене на екранни снимки, събиране на системни данни, управление на файлове и установяване на непрекъснат дистанционен контрол. Той работи чрез множество сървъри за командване и контрол, регистрирани под домейни, които изглеждат надеждни, като quickcamfix.online or autodriverfix.online.

За разлика от по-ранните измами, тази кампания не се фокусира върху масов фишинг или директна кражба от борси. Вместо това, това е хирургически удар, насочен към професионалисти в крипто сектора, тези с достъп до ключова инфраструктура, вътрешни инструменти и чувствителни данни.

Индия: Цел с висока стойност

Индия, един от най-бързо развиващите се центрове за разработване на блокчейн технологии, се превърна в основна цел. Много професионалисти, работещи на глобални крипто платформи, са базирани в страната и тази нова стратегия играе пряка роля в тази концентрация на таланти.

Според Дилип Кумар Х.В., директор в Digital South Trust, Индия се нуждае от спешни реформи, за да се справи с този вид заплаха. Той призова за задължителни одити за киберсигурност за блокчейн фирми, засилено наблюдение на фалшиви портали за работа и правни реформи съгласно индийския закон за информационните технологии.

Открийте обещаващи проекти...

Перспективни проекти...

(Реклама)

Статията продължава...

Той също така призова правителствени агенции като CERT-In, МЕЙТИ, и NCIIPC да се засили сътрудничеството и да се стартират кампании за повишаване на обществената осведоменост, както и да се споделя разузнавателна информация с други юрисдикции.

Нарастващ модел на дигитален шпионаж

Фалшивите предложения за работа са се превърнали в постоянен инструмент в севернокорейските киберстратегии. Лазарска група, друг свързан със Северна Корея хакерски колектив, използва подобна тактика по-рано през 2024 г. Те създаден фалшиви компании, базирани в САЩ, като например БлокНовас ООД намлява СофтГлийд ООД да примамят разработчиците на криптовалути в интервюта, пълни със злонамерен софтуер.

В един от инцидентите хакери на Lazarus се представиха за бивши изпълнители, за да проникнат в Radiant Capital, което доведе до загуба от 50 милиона долара. Съвместно изявление на Япония, Южна Корея и САЩ наскоро потвърди, че Свързани със Северна Корея групи откраднаха криптовалути за 659 милиона долара само през 2024г.

Тези кампании не са само за кражба. Те все повече са насочени към събиране на разузнавателна информация и проникване в крипто фирми отвътре. Крайната цел изглежда е както финансова печалба, така и стратегически контрол върху блокчейн системите и данните.

Контрамерки и пътят напред

Докладът на Cisco Talos е зов за тревога за професионалистите в крипто сектора. Фирмата съветва за повишена бдителност по време на процеса на търсене на работа, особено при взаимодействие с нови платформи, непознати работодатели или непознати URL адреси.

Професионалистите се съветват да:

• Избягвайте инсталирането на софтуер или изпълнението на команди по време на интервюта за работа.
• Проверете легитимността на компаниите и работодателите.
• Използвайте инструменти за защита на крайни точки и защита от зловреден софтуер.
• Редовно актуализирайте паролите си и активирайте двуфакторно удостоверяване.

Компаниите също трябва да затегнат вътрешния контрол и да осигурят обучение на персонала си да разпознава и докладва опити за социално инженерство.