Индийские соискатели работы в сфере криптовалют столкнулись с новой вредоносной угрозой от хакеров, связанных с Северной Кореей

По данным, северокорейские хакеры, связанные с государством, атакуют профессионалов в сфере криптовалют в Индии с помощью новой и узконаправленной вредоносной кампании. фирма по кибербезопасности Cisco TalosНападавшие, идентифицированные как группа, известная как Знаменитая Чхоллима, используют поддельные собеседования и мошеннические веб-сайты для проверки навыков, чтобы заразить устройства пользователей новым трояном удаленного доступа (RAT) на основе Python, получившим название PylangGhost.

Эта операция, действующая с середины 2024 года, знаменует собой очередной этап в расширяющейся деятельности Северной Кореи по криптошпионажу. Исследователи Cisco Talos обнаружили, что злоумышленники выдают себя за вербовщиков известных криптовалютных компаний, таких как Coinbase, Uniswap, Robinhood и Archblock. Их основная целевая аудитория: инженеры-программисты, маркетологи и другие специалисты в области блокчейна и цифровых активов.

Приманки для трудоустройства и фальшивые собеседования

Кампания начинается с социальной инженерии. С жертвами связываются якобы рекрутеры и приглашают посетить убедительные копии сайтов с вакансиями реальных компаний. Эти сайты предлагают тесты для оценки навыков и запрашивают конфиденциальную информацию, такую ​​как полные имена, резюме, адреса кошельков и учетные данные.

Затем кандидатам предлагается включить доступ к камере и микрофону для видеоинтервью. На этом этапе фальшивые рекрутеры просят жертв выполнить определённые команды, замаскированные под установку видеодрайвера, которые запускают установку PylangGhost вредоносные программы.

Cisco Talos подтвердила, что RAT предоставляет хакерам полный удалённый контроль над заражёнными системами и способен красть учётные данные и файлы cookie из более чем 80 расширений браузера. К ним относятся популярные менеджеры паролей и криптовалютные кошельки, такие как MetaMask, 1Password, NordPass, Phantom, TronLink и MultiverseX.

Усовершенствованное вредоносное ПО с постоянным доступом

PylangGhost — это основанная на Python эволюция ранее известной угрозы под названием GolangGhost. Новый вариант нацелен на Системы Windows Он предназначен исключительно для кражи данных и обеспечения постоянного доступа к скомпрометированным машинам. Системы Linux, по данным Cisco Talos, похоже, не пострадали от этой волны атак.

Вредоносная программа может выполнять широкий спектр команд: делать снимки экрана, собирать данные о системе, управлять файлами и осуществлять постоянный удалённый контроль. Она работает через несколько серверов управления, зарегистрированных в доменах, которые кажутся надёжными, например: quickcamfix.online or autodriverfix.online.

В отличие от предыдущих мошеннических схем, эта кампания не фокусируется на массовом фишинге или прямом хищении средств с бирж. Вместо этого она представляет собой точечный удар по профессионалам в сфере криптовалют, тем, кто имеет доступ к ключевой инфраструктуре, внутренним инструментам и конфиденциальным данным.

Индия: ценная цель

Индия, один из самых быстрорастущих центров разработки блокчейнов, стала приоритетной целью. Многие специалисты, работающие на глобальных криптоплатформах, работают в этой стране, и новая стратегия напрямую способствует концентрации талантов.

По оценкам  Дилип Кумар ХВ, директор Digital South Trust, Индия нуждается в срочных реформах для борьбы с этой угрозой. Он призвал обязательные аудиты кибербезопасности для блокчейн-компаний, усиленный мониторинг фальшивых порталов по трудоустройству и правовые реформы в соответствии с Законом Индии об ИТ.

Откройте для себя перспективные проекты...

Перспективные проекты...

(Рекламное объявление)

Продолжение статьи...

Он также призвал правительственные учреждения, такие как CERT-Вход, МЕЙТИ и NCIIPC активизировать сотрудничество и начать кампании по повышению осведомленности общественности, а также обмениваться разведывательными данными с другими юрисдикциями.

Растущая тенденция цифрового шпионажа

Поддельные предложения о работе стали постоянным инструментом в киберпреступлениях Северной Кореи. Лазарь Групп, еще один хакерский коллектив, связанный с Северной Кореей, использовал похожую тактику ранее в 2024 году. Они создали поддельные американские компании, такие как ООО «БлокНовас» и ООО «СофтГлайд» заманить разработчиков криптовалют на собеседования, напичканные вредоносным ПО.

В одном из инцидентов хакеры Lazarus выдавали себя за своих бывших подрядчиков и взломали Radiant Capital, что привело к убыткам в размере 50 миллионов долларов. Совместное заявление Японии, Южной Кореи и США недавно подтвердило, что Группы, связанные с Северной Кореей, украли 659 миллионов долларов в криптовалюте только в 2024.

Эти кампании направлены не только на кражу. Они всё чаще направлены на сбор разведывательной информации и проникновение в криптокомпании изнутри. Конечная цель, по всей видимости, — как финансовая выгода, так и стратегический контроль над блокчейн-системами и данными.

Контрмеры и дальнейшие действия

Отчёт Cisco Talos — это сигнал тревоги для профессионалов в сфере криптовалют. Компания рекомендует проявлять повышенную бдительность при поиске работы, особенно при взаимодействии с новыми платформами, незнакомыми рекрутерами или неизвестными URL-адресами.

Специалистам рекомендуется:

• Избегайте установки программного обеспечения или запуска команд во время собеседования.
• Проверьте легитимность компаний и рекрутеров.
• Используйте средства защиты конечных точек и защиты от вредоносных программ.
• Регулярно обновляйте пароли и включите двухфакторную аутентификацию.

Компаниям также следует ужесточить внутренний контроль и обеспечить обучение персонала выявлять и сообщать о попытках социальной инженерии.