David Edwards
En cyberspionagegruppe med tilknytning til Nordkorea har lanceret en ny bølge af målrettede angreb mod kryptovalutaeksperter ved at implementere malware designet til at høste følsomme legitimationsoplysninger fra digitale tegnebøger og adgangskodeadministratorer. Kampagnen er blevet tilskrevet "Famous Chollima", også kendt som "Wagemole", en trusselsaktør, der tidligere er forbundet med Nordkorea, ifølge en rapport fra Cisco Talos, der blev offentliggjort onsdag.
Angrebet udnytter en Python-baseret fjernadgangstrojan (RAT) ved navn PylangGhost, som forskere har identificeret som en variant af den tidligere GolangGhost RAT. Malwaren giver angribere fuld fjernkontrol over inficerede systemer, hvilket gør det muligt for dem at stjæle cookies, browseroplysninger og følsomme data fra over 80 browserudvidelser. Målene omfatter krypto-wallet-applikationer som MetaMask, Phantom, TronLink og MultiverseX, samt adgangskodeadministratorer som 1Password og NordPass.
Kampagnen ser primært ud til at fokusere på indiske fagfolk med erfaring inden for blockchain og kryptovaluta. Ofrene rekrutteres gennem falske jobopslag på forfalskede websteder, der udgiver sig for at være virksomheder som Coinbase, Robinhood og Uniswap. Når den første kontakt er etableret, udgiver angriberne sig for at være rekrutterere og leder ofrene videre til falske platforme til færdighedstestning.
Under iscenesatte afhøringer bliver ofrene narret til at aktivere kameraadgang og udføre terminalkommandoer under dække af at opdatere videodrivere – trin, der ubevidst installerer den skadelige nyttelast. Malwarens muligheder rækker ud over datatyveri, herunder filhåndtering, skærmbilledeoptagelse, systemrekognoscering og vedvarende fjernadgang.
Cisco Talos-forskere bemærkede, at der på trods af malwarens kompleksitet ikke er bevis for, at store sprogmodeller eller AI-værktøjer var involveret i at skrive dens kode.
Denne form for social engineering – udnyttelse af professionelle ambitioner inden for kryptoindustrien – er blevet et kendetegn for cyberoperationer med tilknytning til Nordkorea. I april blev den samme taktik brugt til at målrette udviklere forbundet med Bybit-hacket til 1.4 milliarder dollars gennem malware-inficerede rekrutteringstests.
