Nordkorea zielt mit neuer Malware auf Krypto-Profis ab
Nordkoreanische Hacker, die der Gruppe ‚Famous Chollima‘ zugeordnet werden, zielen mit ausgeklügelten Cyberangriffen auf Personen in den Bereichen Kryptowährung und Blockchain. Laut Cisco Talos nutzen diese Hacker gefälschte Jobinterviews und betrügerische Websites, um ein Python-basiertes Remote-Access-Trojaner namens ‚PylangGhost‘ zu verbreiten. Diese Malware stiehlt sensible Daten, einschließlich Anmeldeinformationen für Kryptowährungs-Wallets und Passwortmanager.
Wie der Angriff abläuft
Die Angreifer geben sich als seriöse Unternehmen wie Coinbase, Robinhood und Uniswap aus, um gefälschte Jobseiten zu erstellen. Der Angriff erfolgt in drei Schritten:
- Falsche Personalvermittler nehmen Kontakt mit potenziellen Opfern auf.
- Die Opfer erhalten Einladungen zu Fähigkeitstests, die darauf abzielen, ihre Daten zu sammeln.
- Gefälschte Interviews verleiten die Opfer dazu, bösartige Befehle auszuführen, die als Video-Treiber-Updates getarnt sind.
Fähigkeiten der Malware
PylangGhost, eine Variante des GolangGhost RAT, führt mehrere schädliche Aktivitäten durch:
- Stiehlt Anmeldeinformationen aus über 80 Browser-Erweiterungen.
- Macht Screenshots und verwaltet Dateien auf infizierten Geräten.
- Behält dauerhaften Fernzugriff auf kompromittierte Systeme bei.
Frühere Vorfälle
Nordkoreanische Hacker haben bereits ähnliche Taktiken angewendet. Im April zielten sie während des 1,4 Milliarden Dollar schweren Bybit-Hacks mit Malware-infizierten Rekrutierungstests auf Krypto-Entwickler ab.
