Az indiai kriptovalutákkal foglalkozó álláskeresők új kártevő fenyegetéssel néznek szembe az észak-koreai hackerektől

Észak-koreai államhoz köthető hackerek új és célzott kártevőkampánnyal támadják az indiai kriptovaluta-szakembereket Cisco Talos kiberbiztonsági cégA támadók, akiket egy ... néven ismert csoportként azonosítottak. Híres Chollima, hamis állásinterjúkat és csalárd készségtesztelő weboldalakat használnak, hogy megfertőzzék a felhasználók eszközeit egy új, Python-alapú, távoli hozzáférésű trójaival (RAT), amelyet PylangGhost.

Ez a 2024 közepe óta aktív művelet Észak-Korea egyre bővülő kriptovalutákkal kapcsolatos kémkedésének legújabb fejezetét jelenti. A Cisco Talos kutatói felfedték, hogy a támadók olyan nagy hírű kriptovaluta-cégek toborzóinak adják ki magukat, mint a Coinbase. Cserélje le, a Robinhood és az Archblock. Elsődleges célközönségük: szoftvermérnökök, marketing szakemberek és más, a blokklánc és a digitális eszközök területén dolgozó szakemberek.

Álláscsábítások és álinterjúk

A kampány a social engineering (szociális manipuláció) módszerével kezdődik. Az áldozatokat állítólagos toborzók veszik fel, és meghívják őket, hogy látogassanak el meggyőző másolatú, legitim céges karrieroldalakra. Ezek az oldalak készségfelmérő teszteket tartalmaznak, és érzékeny információkat kérnek el, például teljes nevet, önéletrajzot, pénztárca címet és hitelesítő adatokat.

A jelölteket ezután arra utasítják, hogy engedélyezzék a kamera és a mikrofon elérését egy videóinterjúhoz. Ebben a fázisban a hamis toborzók arra kérik az áldozatokat, hogy futtassanak bizonyos parancsokat – videoillesztőprogram-telepítőnek álcázva –, amelyek elindítják a telepítést. PylangGhost malware.

A Cisco Talos megerősítette, hogy a RAT teljes távvezérlést biztosít a hackereknek a fertőzött rendszerek felett, és képes hitelesítő adatokat és sütiket ellopni több mint 80 böngészőbővítményből. Ezek közé tartoznak a széles körben használt jelszókezelők és kriptovaluta-tárcák, mint például a MetaMask, 1Password, NordPass, Phantom, TronLink és MultiverseX.

Fejlett kártevők állandó hozzáféréssel

A PylangGhost egy korábban ismert fenyegetés Python alapú továbbfejlesztése, melynek neve GolangGhostAz új variáns célpontjai Windows rendszerek kizárólagosan, és az adatok kiszivárogtatására és a feltört gépekhez való állandó hozzáférés fenntartására szolgál. A Cisco Talos szerint a Linux rendszerek látszólag érintetlenek maradtak ebben a támadási hullámban.

A rosszindulatú program számos parancs végrehajtására képes: képernyőképek készítésére, rendszeradatok gyűjtésére, fájlok kezelésére és folyamatos távvezérlés létrehozására. Több parancs- és vezérlőszerveren keresztül működik, amelyek hitelesnek tűnő domainek alatt vannak regisztrálva, mint például quickcamfix.online or autodriverfix.online.

A korábbi csalásokkal ellentétben ez a kampány nem a tömeges adathalászatra vagy a tőzsdékről történő közvetlen lopásra összpontosít. Ehelyett egy sebészeti csapásról van szó, amely a kriptoszektor szakembereit, a kulcsfontosságú infrastruktúrához, belső eszközökhöz és érzékeny adatokhoz hozzáférőket célozza meg.

India: Nagy értékű célpont

India, a blokklánc-fejlesztés egyik leggyorsabban növekvő központja, elsődleges célponttá vált. Számos, globális kriptoplatformokon dolgozó szakember az országban él, és ez az új stratégia közvetlenül hozzájárul ehhez a tehetségkoncentrációhoz.

Szerint Dileep Kumar HV, a Digital South Trust igazgatója szerint Indiának sürgős reformokra van szüksége az ilyen típusú fenyegetések kezelésére. Felszólított a következőkre: kötelező kiberbiztonsági auditok a blokklánc-cégek számára, a hamis álláskereső portálok fokozott ellenőrzése, valamint az indiai informatikai törvény szerinti jogi reformok.

Fedezze fel az ígéretes projekteket...

Ígéretes projektek...

(Hirdetés)

A cikk folytatódik...

Emellett felszólította a kormányzati szerveket, mint például CERT-In, MEITYés NCIIPC az együttműködés fokozása és nyilvános figyelemfelkeltő kampányok indítása, valamint a hírszerzési információk megosztása más joghatóságokkal.

A digitális kémkedés növekvő mintázata

A kamu állásajánlatok állandó eszközzé váltak az észak-koreai kiberpolitikában. Lazarus csoport, egy másik, Észak-Koreához köthető hackercsoport, hasonló taktikát alkalmazott 2024 elején. Ők készítette hamis amerikai székhelyű cégek, mint például BlockNovas Kft. és a SoftGlide Kft. hogy a kriptofejlesztőket kártevőkkel teli interjúkra csábítsák.

Az egyik incidensben a Lazarus hackerei korábbi vállalkozóknak adták ki magukat, hogy behatoljanak a Radiant Capital rendszerébe, ami 50 millió dolláros veszteséget okozott. Japán, Dél-Korea és az Egyesült Államok nemrégiben közös nyilatkozatban megerősítették, hogy... Észak-Koreához köthető csoportok 659 millió dollárnyi kriptovalutát loptak el egyedül 2024-ben.

Ezek a kampányok nem csak a lopásról szólnak. Egyre inkább a hírszerzésre és a kriptocégekbe való belső beszivárgásra irányulnak. A végső cél úgy tűnik, hogy mind a pénzügyi haszonszerzés, mind a blokklánc-rendszerek és -adatok feletti stratégiai ellenőrzés megszerzése.

Ellenintézkedések és az előttünk álló út

A Cisco Talos jelentése intő jel a kripto szektor szakemberei számára. A cég fokozott éberséget javasol az álláskeresési folyamat során, különösen új platformokkal, ismeretlen toborzókkal vagy ismeretlen URL-címekkel való kapcsolatfelvételkor.

A szakembereknek a következőket tanácsolják:

• Kerüld a szoftverek telepítését vagy parancsok futtatását állásinterjúk során.
• Ellenőrizze a vállalatok és a toborzók legitimitását.
• Használjon végpontvédelmi és kártevőirtó eszközöket.
• Rendszeresen frissítse a jelszavakat, és engedélyezze a kéttényezős hitelesítést.

A vállalatoknak szigorítaniuk kell a belső ellenőrzéseket, és gondoskodniuk kell arról, hogy a személyzet képzett legyen a társadalmi manipulációs kísérletek észlelésére és jelentésére.