David Edwards
Severnokorejska skupina za kibernetsko vohunjenje je sprožila nov val ciljno usmerjenih napadov na strokovnjake za kriptovalute, pri čemer je uporabila zlonamerno programsko opremo, namenjeno pridobivanju občutljivih poverilnic iz digitalnih denarnic in upraviteljev gesel. Kampanjo pripisujejo »Famous Chollima«, znanemu tudi kot »Wagemole«, akterju grožnje, ki je bil prej povezan s Severno Korejo, v sredo objavljenem poročilu podjetja Cisco Talos.
Napad izkorišča trojanca za oddaljeni dostop (RAT) z imenom PylangGhost, ki temelji na Pythonu in ga raziskovalci identificirajo kot različico prejšnjega trojanca GolangGhost RAT. Zlonamerna programska oprema napadalcem omogoča popoln oddaljeni nadzor nad okuženimi sistemi, kar jim omogoča krajo piškotkov, poverilnic brskalnika in občutljivih podatkov iz več kot 80 razširitev brskalnika. Med tarčami so aplikacije za kripto denarnice, kot so MetaMask, Phantom, TronLink in MultiverseX, ter upravljalniki gesel, kot sta 1Password in NordPass.
Zdi se, da se kampanja osredotoča predvsem na strokovnjake s sedežem v Indiji z izkušnjami na področju veriženja blokov in kriptovalut. Žrtve se rekrutirajo prek lažnih objav delovnih mest na ponarejenih spletnih mestih, ki se izdajajo za podjetja, kot so Coinbase, Robinhood in Uniswap. Ko je vzpostavljen prvi stik, se napadalci predstavljajo kot rekruterji in žrtve usmerijo na lažne platforme za testiranje znanj in spretnosti.
Med narejenimi intervjuji žrtve zmotijo, da omogočijo dostop do kamere in izvajajo terminalske ukaze pod pretvezo posodabljanja gonilnikov grafične kartice – koraki, ki nevede namestijo zlonamerno programsko opremo. Zmogljivosti zlonamerne programske opreme segajo dlje od kraje podatkov, vključno z upravljanjem datotek, zajemanjem posnetkov zaslona, izvidovanjem sistema in trajnim oddaljenim dostopom.
Raziskovalci Cisco Talos so ugotovili, da kljub kompleksnosti zlonamerne programske opreme ni dokazov, da bi bili pri pisanju njene kode vključeni veliki jezikovni modeli ali orodja umetne inteligence.
Ta oblika socialnega inženiringa – izkoriščanje poklicnih teženj znotraj kripto industrije – je postala zaščitni znak kibernetskih operacij, povezanih s Severno Korejo. Aprila je bila ista taktika uporabljena za ciljanje razvijalcev, povezanih z 1.4 milijarde dolarjev vrednim vdorom v Bybit, prek z zlonamerno programsko opremo okuženih testov zaposlovanja.
