Indičtí uchazeči o práci v kryptoměnovém sektoru čelí nové hrozbě malwaru od hackerů napojených na Severní Koreu.

Severokorejští hackeři napojení na stát cílí na profesionály v oblasti kryptoměn v Indii novou a vysoce cílenou malwarovou kampaní. firma pro kybernetickou bezpečnost Cisco TalosÚtočníci, identifikovaní jako skupina známá jako Slavná Čollima, používají falešné pracovní pohovory a podvodné webové stránky s testováním dovedností k infikování zařízení uživatelů novým trojským koněm pro vzdálený přístup (RAT) založeným na Pythonu s názvem PylangGhost.

Tato operace, aktivní od poloviny roku 2024, představuje nejnovější kapitolu v rozšiřujícím se úsilí Severní Koreje o kryptošpionáž. Výzkumníci ze společnosti Cisco Talos odhalili, že útočníci se vydávají za náboráře pro významné krypto firmy, jako je Coinbase, Uniswap, Robinhood a Archblock. Jejich primární cílové skupiny: softwaroví inženýři, marketingoví profesionálové a další specialisté na blockchain a digitální aktiva.

Lákavé pracovní nabídky a falešné pohovory

Kampaň začíná sociálním inženýrstvím. Oběti jsou kontaktovány údajnými náboráři a zvány k návštěvě přesvědčivých replik legitimních firemních stránek s nabídkami práce. Tyto stránky obsahují testy pro posouzení dovedností a vyžadují citlivé informace, jako jsou celá jména, životopisy, adresy peněženek a přihlašovací údaje.

Kandidáti jsou poté instruováni, aby pro video pohovor povolili přístup ke kameře a mikrofonu. Během této fáze falešní náboráři požádají oběti o spuštění určitých příkazů – maskovaných jako instalace ovladačů videa – které spustí instalaci PylangGhost malware.

Společnost Cisco Talos potvrdila, že RAT poskytuje hackerům plnou vzdálenou kontrolu nad infikovanými systémy a je schopen ukrást přihlašovací údaje a soubory cookie z více než 80 rozšíření prohlížeče. Patří mezi ně široce používané správce hesel a kryptoměnové peněženky, jako je MetaMask, 1Password, NordPass, Phantom, TronLink a MultiverseX.

Pokročilý malware s trvalým přístupem

PylangGhost je v Pythonu založená evoluce dříve známé hrozby s názvem GolangGhostNová varianta cílí Windows systémy výhradně a je navržen tak, aby odhalil data a udržoval trvalý přístup k napadeným počítačům. Podle Cisco Talos se zdá, že systémy Linux zůstaly touto vlnou útoků nedotčeny.

Malware dokáže provádět širokou škálu příkazů: pořizovat snímky obrazovky, shromažďovat podrobnosti o systému, spravovat soubory a navazovat nepřetržitou vzdálenou kontrolu. Funguje prostřednictvím několika serverů pro řízení a kontrolu registrovaných pod doménami, které vypadají důvěryhodně, jako například quickcamfix.online or autodriverfix.online.

Na rozdíl od dřívějších podvodů se tato kampaň nezaměřuje na hromadný phishing ani přímé krádeže z burz. Místo toho se jedná o chirurgický úder zaměřený na profesionály v kryptosektoru, na ty, kteří mají přístup ke klíčové infrastruktuře, interním nástrojům a citlivým datům.

Indie: Vysoce hodnotný cíl

Indie, jedno z nejrychleji rostoucích center pro vývoj blockchainu, se stala hlavním cílem. Mnoho profesionálů pracujících na globálních krypto platformách sídlí v zemi a tato nová strategie přímo přispívá k této koncentraci talentů.

Podle Dileep Kumar HV, ředitel organizace Digital South Trust, Indie potřebuje naléhavé reformy, aby se s tímto typem hrozby vypořádala. Vyzval k povinné audity kybernetické bezpečnosti pro blockchainové firmy, posílené monitorování falešných pracovních portálů a právní reformy v rámci indického zákona o IT.

Objevte slibné projekty...

Slibné projekty...

(Inzerát)

Článek pokračuje...

Také vyzval vládní instituce, jako například CERT-In, MEITY, a NCIIPC posílit spolupráci a zahájit kampaně na zvyšování povědomí veřejnosti a také sdílet informace s dalšími jurisdikcemi.

Rostoucí trend digitální špionáže

Falešné pracovní nabídky se staly běžným nástrojem v severokorejských kybernetických taktikách. Skupina Lazarus, další hackerský kolektiv spojený se Severní Koreou, použil podobnou taktiku dříve v roce 2024. vytvořené falešné společnosti se sídlem v USA, jako například BlockNovas LLC si SoftGlide s.r.o. nalákat vývojáře kryptoměn na pohovory plné malwaru.

V jednom incidentu se hackeři Lazarus vydávali za bývalé dodavatele, aby pronikli do systému Radiant Capital, což vedlo ke ztrátě 50 milionů dolarů. Společné prohlášení Japonska, Jižní Koreje a USA to nedávno potvrdilo. Skupiny napojené na Severní Koreu ukradly kryptoměny v hodnotě 659 milionů dolarů pouze v 2024u.

Tyto kampaně se netýkají jen krádeží. Stále častěji se zaměřují na shromažďování informací a infiltraci krypto firem zevnitř. Konečným cílem se zdá být jak finanční zisk, tak strategická kontrola nad blockchainovými systémy a daty.

Protiopatření a cesta vpřed

Zpráva Cisco Talos je varovným signálem pro profesionály v kryptosektoru. Firma doporučuje zvýšenou ostražitost během hledání práce, zejména při práci s novými platformami, neznámými náboráři nebo neznámými URL adresami.

Odborníkům se doporučuje:

• Během pracovních pohovorů se vyhněte instalaci softwaru ani spouštění příkazů.
• Ověřte legitimitu firem a náborářů.
• Používejte ochranu koncových bodů a nástroje proti malwaru.
• Pravidelně aktualizujte hesla a povolte dvoufaktorové ověřování.

Společnosti by také měly zpřísnit interní kontroly a zajistit, aby byli zaměstnanci proškoleni v odhalování a hlášení pokusů o sociální inženýrství.