Indiase crypto-werkzoekenden worden geconfronteerd met een nieuwe malwaredreiging van Noord-Koreaanse hackers

Volgens een rapport van de Noord-Koreaanse staatshackers zijn cryptovalutaprofessionals in India het doelwit van een nieuwe en zeer gerichte malwarecampagne. cybersecuritybedrijf Cisco TalosDe aanvallers, geïdentificeerd als een groep die bekend staat als Beroemde Chollima, gebruiken nep-sollicitatiegesprekken en frauduleuze websites voor het testen van vaardigheden om de apparaten van gebruikers te infecteren met een nieuwe op Python gebaseerde Remote Access Trojan (RAT) genaamd PylangGhost.

Deze operatie, die sinds medio 2024 actief is, markeert het nieuwste hoofdstuk in de toenemende crypto-spionage-inspanningen van Noord-Korea. Onderzoekers van Cisco Talos onthulden dat de aanvallers zich voordoen als recruiters voor bekende cryptobedrijven zoals Coinbase. uniswap, Robinhood en Archblock. Hun primaire doelgroep: software engineers, marketingprofessionals en andere specialisten in blockchain en digitale activa.

Lokmiddelen voor banen en nep-interviews

De campagne begint met social engineering. Slachtoffers worden benaderd door zogenaamde recruiters en uitgenodigd om overtuigende kopieën van legitieme vacaturepagina's van bedrijven te bezoeken. Deze sites bevatten tests om vaardigheden te testen en vragen om gevoelige informatie zoals volledige namen, cv's, wallet-adressen en referenties.

Kandidaten krijgen vervolgens de opdracht om toegang tot camera en microfoon in te schakelen voor een video-interview. Tijdens deze fase vragen de neprecruiters slachtoffers om bepaalde commando's uit te voeren – vermomd als installatie van videodrivers – die de installatie van de videodriver activeren. PylangGhost malware.

Cisco Talos bevestigde dat de RAT hackers volledige controle op afstand geeft over geïnfecteerde systemen en in staat is om inloggegevens en cookies te stelen van meer dan 80 browserextensies. Hieronder vallen veelgebruikte wachtwoordmanagers en cryptocurrency wallets zoals MetaMask, 1Password, NordPass, Phantom, TronLink en MultiverseX.

Geavanceerde malware met permanente toegang

PylangGhost is een op Python gebaseerde evolutie van een eerder bekende bedreiging genaamd GolangGhostDe nieuwe variant richt zich op Windows-systemen Exclusief en ontworpen om gegevens te exfiltreren en permanente toegang tot gecompromitteerde machines te behouden. Linux-systemen lijken volgens Cisco Talos onaangetast te blijven in deze aanvalsgolf.

De malware kan een breed scala aan commando's uitvoeren: screenshots maken, systeemgegevens verzamelen, bestanden beheren en continu beheer op afstand instellen. Het werkt via meerdere command-and-control-servers die geregistreerd staan ​​onder domeinen die betrouwbaar lijken, zoals quickcamfix.online or autodriverfix.online.

In tegenstelling tot eerdere oplichtingspraktijken richt deze campagne zich niet op massale phishing of directe diefstal van exchanges. Het is een chirurgische aanval gericht op professionals binnen de cryptosector, degenen met toegang tot belangrijke infrastructuur, interne tools en gevoelige gegevens.

India: een belangrijk doelwit

India, een van de snelstgroeiende hubs voor blockchainontwikkeling, is een belangrijk doelwit geworden. Veel professionals die op wereldwijde cryptoplatforms werken, zijn in het land gevestigd, en deze nieuwe strategie speelt direct in op die talentconcentratie.

Think Dileep Kumar HV, directeur van Digital South Trust, heeft India dringend hervormingen nodig om dit soort bedreigingen aan te pakken. Hij riep op tot verplichte cybersecurityaudits voor blockchainbedrijven, strengere controle op nep-vacaturebanken en juridische hervormingen in het kader van de IT-wet van India.

Ontdek veelbelovende projecten...

Veelbelovende projecten...

(Advertentie)

Artikel gaat verder...

Hij drong er ook bij overheidsinstanties op aan, zoals CERT-In, MEITen  NCIIPC om de samenwerking te intensiveren en publieke bewustmakingscampagnes te lanceren, en om informatie te delen met andere rechtsgebieden.

Een groeiend patroon van digitale spionage

Nep-vacatures zijn een vast onderdeel geworden van de Noord-Koreaanse cyberstrategie. Lazarus Group, een ander hackerscollectief met banden met Noord-Korea, gebruikte eerder in 2024 een soortgelijke tactiek. aangemaakt neppe Amerikaanse bedrijven zoals BlockNovas LLC en  SoftGlide LLC om crypto-ontwikkelaars te lokken naar interviews vol malware.

In één geval deden Lazarus-hackers zich voor als voormalige contractanten om in te breken bij Radiant Capital, wat leidde tot een verlies van $ 50 miljoen. Een gezamenlijke verklaring van Japan, Zuid-Korea en de VS bevestigde onlangs dat Groepen met banden met Noord-Korea stalen $659 miljoen aan crypto alleen in 2024.

Deze campagnes gaan niet alleen over diefstal. Ze zijn steeds meer gericht op het verzamelen van inlichtingen en het van binnenuit infiltreren van cryptobedrijven. Het uiteindelijke doel lijkt zowel financieel gewin als strategische controle over blockchainsystemen en data te zijn.

Tegenmaatregelen en de weg vooruit

Het Cisco Talos-rapport is een wake-upcall voor professionals in de cryptosector. Het bureau adviseert verhoogde waakzaamheid tijdens het sollicitatieproces, vooral bij het gebruik van nieuwe platforms, onbekende recruiters of onbekende URL's.

Professionals wordt geadviseerd om:

• Vermijd het installeren van software of het uitvoeren van opdrachten tijdens sollicitatiegesprekken.
• Controleer de legitimiteit van bedrijven en recruiters.
• Gebruik eindpuntbeveiliging en anti-malwaretools.
• Werk uw wachtwoorden regelmatig bij en schakel tweefactorauthenticatie in.

Bedrijven moeten bovendien de interne controle verscherpen en ervoor zorgen dat hun personeel is opgeleid om pogingen tot social engineering te herkennen en te melden.