Οι Ινδοί αναζητούντες εργασία σε κρυπτονομίσματα αντιμετωπίζουν νέα απειλή κακόβουλου λογισμικού από χάκερ που συνδέονται με τη Βόρεια Κορέα

Χάκερ που συνδέονται με το βορειοκορεατικό κράτος στοχεύουν επαγγελματίες κρυπτονομισμάτων στην Ινδία με μια νέα και εξαιρετικά στοχευμένη εκστρατεία κακόβουλου λογισμικού, σύμφωνα με... Η εταιρεία κυβερνοασφάλειας Cisco TalosΟι επιτιθέμενοι, που αναγνωρίστηκαν ως ομάδα γνωστή ως Διάσημη Χολίμα, χρησιμοποιούν ψεύτικες συνεντεύξεις εργασίας και δόλιες ιστοσελίδες δοκιμών δεξιοτήτων για να μολύνουν τις συσκευές των χρηστών με ένα νέο ιό Trojan απομακρυσμένης πρόσβασης (RAT) που βασίζεται σε Python και ονομάζεται PylangGhost.

Αυτή η επιχείρηση, η οποία είναι ενεργή από τα μέσα του 2024, σηματοδοτεί το τελευταίο κεφάλαιο στις διευρυνόμενες προσπάθειες κατασκοπείας κρυπτονομισμάτων της Βόρειας Κορέας. Οι ερευνητές της Cisco Talos αποκάλυψαν ότι οι επιτιθέμενοι παρουσιάζονται ως στρατολόγοι για εταιρείες κρυπτονομισμάτων υψηλού προφίλ όπως η Coinbase, Απενεργοποίηση, Robinhood και Archblock. Οι κύριοι στόχοι τους: μηχανικοί λογισμικού, επαγγελματίες μάρκετινγκ και άλλοι ειδικοί σε blockchain και ψηφιακά περιουσιακά στοιχεία.

Δολώματα για εργασία και ψεύτικες συνεντεύξεις

Η καμπάνια ξεκινά με την κοινωνική μηχανική. Τα θύματα επικοινωνούν με υποτιθέμενους recruiters και τους προσκαλούν να επισκεφθούν πειστικά αντίγραφα νόμιμων σελίδων σταδιοδρομίας εταιρειών. Αυτές οι ιστοσελίδες περιλαμβάνουν τεστ αξιολόγησης δεξιοτήτων και ζητούν ευαίσθητες πληροφορίες, όπως ονοματεπώνυμα, βιογραφικά, διευθύνσεις πορτοφολιού και διαπιστευτήρια.

Στη συνέχεια, οι υποψήφιοι λαμβάνουν οδηγίες να ενεργοποιήσουν την πρόσβαση στην κάμερα και το μικρόφωνο για μια βιντεοσυνέντευξη. Κατά τη διάρκεια αυτής της φάσης, οι ψεύτικοι υπεύθυνοι προσλήψεων ζητούν από τα θύματα να εκτελέσουν ορισμένες εντολές—μεταμφιεσμένες σε εγκαταστάσεις προγραμμάτων οδήγησης βίντεο—οι οποίες ενεργοποιούν την εγκατάσταση του PylangGhost κακόβουλο λογισμικό.

Το Cisco Talos επιβεβαίωσε ότι το RAT παρέχει στους χάκερ πλήρη απομακρυσμένο έλεγχο των μολυσμένων συστημάτων και είναι ικανό να κλέβει διαπιστευτήρια και cookies από περισσότερες από 80 επεκτάσεις προγράμματος περιήγησης. Σε αυτά περιλαμβάνονται ευρέως χρησιμοποιούμενοι διαχειριστές κωδικών πρόσβασης και πορτοφόλια κρυπτονομισμάτων όπως... MetaMask, 1Password, NordPass, Phantom, TronLink και MultiverseX.

Προηγμένο κακόβουλο λογισμικό με μόνιμη πρόσβαση

Το PylangGhost είναι μια εξέλιξη μιας προηγουμένως γνωστής απειλής που ονομάζεται, βασισμένη σε Python. GolangGhostΟι νέοι παραλλαγμένοι στόχοι συστήματα Windows αποκλειστικά και έχει σχεδιαστεί για να υποκλέπτει δεδομένα και να διατηρεί μόνιμη πρόσβαση σε παραβιασμένα μηχανήματα. Τα συστήματα Linux, σύμφωνα με την Cisco Talos, φαίνεται να παραμένουν ανέγγιχτα σε αυτό το κύμα επιθέσεων.

Το κακόβουλο λογισμικό μπορεί να εκτελέσει ένα ευρύ φάσμα εντολών: λήψη στιγμιότυπων οθόνης, συλλογή λεπτομερειών συστήματος, διαχείριση αρχείων και δημιουργία συνεχούς τηλεχειρισμού. Λειτουργεί μέσω πολλαπλών διακομιστών εντολών και ελέγχου που είναι καταχωρημένοι σε τομείς που φαίνονται αξιόπιστοι, όπως quickcamfix.online or autodriverfix.online.

Σε αντίθεση με προηγούμενες απάτες, αυτή η καμπάνια δεν επικεντρώνεται σε μαζικό ηλεκτρονικό ψάρεμα (phishing) ή άμεση κλοπή από ανταλλακτήρια. Αντίθετα, πρόκειται για μια χειρουργική επέμβαση που απευθύνεται σε επαγγελματίες εντός του τομέα των κρυπτονομισμάτων, σε όσους έχουν πρόσβαση σε βασικές υποδομές, εσωτερικά εργαλεία και ευαίσθητα δεδομένα.

Ινδία: Ένας στόχος υψηλής αξίας

Η Ινδία, ένας από τους ταχύτερα αναπτυσσόμενους κόμβους για την ανάπτυξη blockchain, έχει γίνει πρωταρχικός στόχος. Πολλοί επαγγελματίες που εργάζονται σε παγκόσμιες πλατφόρμες κρυπτογράφησης έχουν την έδρα τους στη χώρα και αυτή η νέα στρατηγική συμβάλλει άμεσα στη συγκέντρωση ταλέντων.

Σύμφωνα με Ντιλίπ Κουμάρ HV, διευθυντής της Digital South Trust, η Ινδία χρειάζεται επείγουσες μεταρρυθμίσεις για την αντιμετώπιση αυτού του είδους απειλής. Ζήτησε υποχρεωτικοί έλεγχοι κυβερνοασφάλειας για εταιρείες blockchain, ενισχυμένη παρακολούθηση των ψεύτικων πυλών εύρεσης εργασίας και νομικές μεταρρυθμίσεις βάσει του νόμου περί πληροφορικής της Ινδίας.

Ανακαλύψτε πολλά υποσχόμενα έργα...

Πολλά υποσχόμενα έργα...

(Διαφήμιση)

Το άρθρο συνεχίζεται...

Επίσης, κάλεσε κυβερνητικές υπηρεσίες, όπως π. CERT-In, MEITY, να NCIIPC να εντείνουν τη συνεργασία και να ξεκινήσουν εκστρατείες ευαισθητοποίησης του κοινού, καθώς και να ανταλλάξουν πληροφορίες με άλλες δικαιοδοσίες.

Ένα αυξανόμενο μοτίβο ψηφιακής κατασκοπείας

Οι ψεύτικες προσφορές εργασίας έχουν γίνει ένα σταθερό εργαλείο στα κυβερνοεγχειρίδια της Βόρειας Κορέας. Ομάδα Λαζάρου, μια άλλη ομάδα χάκερ που συνδέεται με τη Βόρεια Κορέα, χρησιμοποίησε μια παρόμοια τακτική νωρίτερα το 2024. Αυτοί δημιουργήθηκε ψεύτικες εταιρείες με έδρα τις ΗΠΑ, όπως BlockNovas LLC και  SoftGlide ΕΠΕ για να παρασύρουν προγραμματιστές κρυπτονομισμάτων σε συνεντεύξεις γεμάτες κακόβουλο λογισμικό.

Σε ένα περιστατικό, χάκερ της Lazarus παριστάνουν τους πρώην εργολάβους για να παραβιάσουν την Radiant Capital, με αποτέλεσμα την απώλεια 50 εκατομμυρίων δολαρίων. Μια κοινή δήλωση από την Ιαπωνία, τη Νότια Κορέα και τις ΗΠΑ επιβεβαίωσε πρόσφατα ότι Ομάδες που συνδέονται με τη Βόρεια Κορέα έκλεψαν κρυπτονομίσματα ύψους 659 εκατομμυρίων δολαρίων μόνο το 2024.

Αυτές οι εκστρατείες δεν αφορούν μόνο την κλοπή. Στοχεύουν όλο και περισσότερο στη συλλογή πληροφοριών και στην διείσδυση σε εταιρείες κρυπτονομισμάτων από μέσα. Ο απώτερος στόχος φαίνεται να είναι τόσο το οικονομικό κέρδος όσο και ο στρατηγικός έλεγχος των συστημάτων και των δεδομένων blockchain.

Αντίμετρα και ο Δρόμος που Μας Περιμένει

Η έκθεση Cisco Talos αποτελεί ένα κάλεσμα αφύπνισης για τους επαγγελματίες στον τομέα των κρυπτονομισμάτων. Η εταιρεία συμβουλεύει αυξημένη επαγρύπνηση κατά τη διαδικασία αναζήτησης εργασίας, ειδικά κατά την αλληλεπίδραση με νέες πλατφόρμες, άγνωστους recruiters ή άγνωστες διευθύνσεις URL.

Οι επαγγελματίες συμβουλεύονται:

• Αποφύγετε την εγκατάσταση λογισμικού ή την εκτέλεση εντολών κατά τη διάρκεια συνεντεύξεων για εργασία.
• Επαληθεύστε τη νομιμότητα των εταιρειών και των recruiters.
• Χρησιμοποιήστε εργαλεία προστασίας τερματικών σημείων και προστασίας από κακόβουλο λογισμικό.
• Ενημερώνετε τακτικά τους κωδικούς πρόσβασης και ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων.

Οι εταιρείες θα πρέπει επίσης να ενισχύσουν τους εσωτερικούς ελέγχους και να διασφαλίσουν ότι το προσωπικό είναι εκπαιδευμένο ώστε να εντοπίζει και να αναφέρει απόπειρες κοινωνικής μηχανικής.