Індійські шукачі роботи в криптовалютному секторі стикаються з новою загрозою шкідливого програмного забезпечення від хакерів, пов'язаних з Північною Кореєю

За даними, хакери, пов'язані з північнокорейською державою, націлилися на фахівців з криптовалют в Індії за допомогою нової та цілеспрямованої кампанії з програмного забезпечення. фірма з кібербезпеки Cisco TalosНападники, ідентифіковані як група, відома як Знаменита Чолліма, використовують фальшиві співбесіди та шахрайські веб-сайти для перевірки навичок, щоб заразити пристрої користувачів новим трояном віддаленого доступу (RAT) на основі Python під назвою PylangGhost.

Ця операція, що триває з середини 2024 року, знаменує собою черговий розділ у розширенні зусиль Північної Кореї щодо крипто-шпигунства. Дослідники Cisco Talos виявили, що зловмисники видають себе за вербувальників для відомих криптофірм, таких як Coinbase, Відключення, Robinhood та Archblock. Їхні основні цільові групи: розробники програмного забезпечення, маркетологи та інші фахівці з блокчейну та цифрових активів.

Приманки для роботи та фальшиві співбесіди

Кампанія починається із соціальної інженерії. З жертвами зв’язуються нібито рекрутери та запрошують відвідати переконливі копії сторінок вакансій легітимних компаній. Ці сайти містять тести для оцінки навичок та запитують конфіденційну інформацію, таку як повні імена, резюме, адреси гаманців та облікові дані.

Потім кандидатам доручають увімкнути доступ до камери та мікрофона для відеоспівбесіди. На цьому етапі фальшиві рекрутери просять жертв виконати певні команди, замасковані під встановлення відеодрайверів, які запускають встановлення... PylangGhost зловмисне програмне забезпечення.

Cisco Talos підтвердила, що RAT надає хакерам повний дистанційний контроль над зараженими системами та здатна красти облікові дані та файли cookie з понад 80 розширень браузера. До них належать широко використовувані менеджери паролів та криптовалютні гаманці, такі як MetaMask, 1Password, NordPass, Phantom, TronLink та MultiverseX.

Розширене шкідливе програмне забезпечення з постійним доступом

PylangGhost — це еволюція раніше відомої загрози на основі Python. GolangGhostНовий варіант цілей Системи Windows виключно та призначений для вилучення даних і забезпечення постійного доступу до скомпрометованих машин. Системи Linux, за даними Cisco Talos, здаються неушкодженими цією хвилею атак.

Шкідливе програмне забезпечення може виконувати широкий спектр команд: робити скріншоти, збирати дані про систему, керувати файлами та встановлювати безперервний віддалений контроль. Воно працює через кілька серверів командного контролю, зареєстрованих під доменами, які виглядають надійними, такими як quickcamfix.online or autodriverfix.online.

На відміну від попередніх шахрайських схем, ця кампанія не зосереджена на масовому фішингу чи прямих крадіжках з бірж. Натомість це хірургічний удар, спрямований на професіоналів у криптосекторі, тих, хто має доступ до ключової інфраструктури, внутрішніх інструментів та конфіденційних даних.

Індія: цінна ціль

Індія, один із найшвидше зростаючих центрів розробки блокчейну, стала основною ціллю. Багато фахівців, які працюють на глобальних криптоплатформах, базуються в країні, і ця нова стратегія безпосередньо сприяє концентрації талантів.

За оцінкою Діліп Кумар HV, директор Digital South Trust, Індії потрібні термінові реформи для боротьби з цим типом загрози. Він закликав до обов'язкові аудити кібербезпеки для блокчейн-фірм, посилений моніторинг фальшивих порталів з працевлаштування та правові реформи відповідно до Закону Індії про ІТ.

Відкрийте для себе перспективні проекти...

Перспективні проекти...

(Реклама)

Стаття продовжується...

Він також закликав такі державні установи, як CERT-In, MEITY та  NCIIPC активізувати співпрацю та розпочати кампанії з підвищення обізнаності громадськості, а також обмінюватися розвідувальними даними з іншими юрисдикціями.

Зростаюча тенденція цифрового шпигунства

Фальшиві пропозиції роботи стали постійним інструментом у північнокорейських кіберстратегіях. Група «Лазар», ще один хакерський колектив, пов'язаний з Північною Кореєю, використовував подібну тактику раніше у 2024 році. Вони створений фальшиві компанії, що базуються в США, такі як ТОВ «БлокНовас» та  ТОВ «СофтГлайд» заманити крипторозробників на співбесіди, заповнені шкідливим програмним забезпеченням.

В одному з інцидентів хакери Lazarus видавали себе за колишніх підрядників, щоб зламати систему Radiant Capital, що призвело до збитків у розмірі 50 мільйонів доларів. Спільна заява Японії, Південної Кореї та США нещодавно підтвердила, що Пов'язані з Північною Кореєю групи вкрали криптовалюту на 659 мільйонів доларів лише в 2024 році

Ці кампанії не лише спрямовані на крадіжки. Вони дедалі більше спрямовані на збір розвідувальних даних та проникнення в криптофірми зсередини. Кінцевою метою, схоже, є як фінансова вигода, так і стратегічний контроль над блокчейн-системами та даними.

Контрзаходи та шлях уперед

Звіт Cisco Talos є тривожним сигналом для фахівців у криптосекторі. Компанія радить бути пильнішими під час пошуку роботи, особливо під час взаємодії з новими платформами, незнайомими рекрутерами або невідомими URL-адресами.

Фахівцям рекомендується:

• Уникайте встановлення програмного забезпечення або виконання команд під час співбесід.
• Перевірте легітимність компаній та рекрутерів.
• Використовуйте засоби захисту кінцевих точок та захисту від шкідливого програмного забезпечення.
• Регулярно оновлюйте паролі та вмикайте двофакторну автентифікацію.

Компанії також повинні посилити внутрішній контроль і забезпечити навчання персоналу виявляти та повідомляти про спроби соціальної інженерії.