Corea del Norte ataca a profesionales de criptomonedas con nuevo malware
Los hackers norcoreanos, identificados como parte del grupo ‘Famous Chollima’, están atacando a individuos en los sectores de criptomonedas y blockchain con ciberataques sofisticados. Según Cisco Talos, estos hackers utilizan entrevistas de trabajo falsas y sitios web fraudulentos para distribuir un troyano de acceso remoto basado en Python llamado ‘PylangGhost’. Este malware roba datos sensibles, incluyendo credenciales para carteras de criptomonedas y gestores de contraseñas.
Cómo funciona el ataque
Los atacantes se hacen pasar por empresas legítimas como Coinbase, Robinhood y Uniswap para crear sitios de trabajo falsos. El ataque se desarrolla en tres etapas:
- Reclutadores falsos inician contacto con las víctimas potenciales.
- Las víctimas reciben invitaciones a sitios web de pruebas de habilidades diseñados para robar su información.
- Entrevistas falsas engañan a las víctimas para que ejecuten comandos maliciosos disfrazados como actualizaciones de controladores de video.
Capacidades del malware
PylangGhost, una variante del GolangGhost RAT, realiza varias actividades maliciosas:
- Roba credenciales de más de 80 extensiones de navegador.
- Captura capturas de pantalla y gestiona archivos en dispositivos infectados.
- Mantiene acceso remoto persistente a sistemas comprometidos.
Incidentes anteriores
Los hackers vinculados a Corea del Norte han utilizado tácticas similares antes. En abril, atacaron a desarrolladores de criptomonedas con pruebas de reclutamiento infectadas con malware durante el robo de $1.4 mil millones de Bybit.
