La Corée du Nord cible les professionnels de la crypto avec un nouveau malware
Des hackers nord-coréens, identifiés comme faisant partie du groupe ‘Famous Chollima’, ciblent les individus dans les secteurs de la cryptomonnaie et de la blockchain avec des cyberattaques sophistiquées. Selon Cisco Talos, ces pirates utilisent de faux entretiens d’embauche et des sites web frauduleux pour distribuer un cheval de Troie d’accès distant basé sur Python appelé ‘PylangGhost’. Ce malware vole des données sensibles, y compris les identifiants des portefeuilles de cryptomonnaie et des gestionnaires de mots de passe.
Comment fonctionne l’attaque
Les attaquants se font passer pour des entreprises légitimes comme Coinbase, Robinhood, et Uniswap pour créer de faux sites d’emploi. L’attaque se déroule en trois étapes :
- De faux recruteurs prennent contact avec les victimes potentielles.
- Les victimes reçoivent des invitations à des sites de test de compétences conçus pour récolter leurs informations.
- De faux entretiens trompent les victimes pour qu’elles exécutent des commandes malveillantes déguisées en mises à jour de pilotes vidéo.
Capacités du malware
PylangGhost, une variante du GolangGhost RAT, effectue plusieurs activités malveillantes :
- Vole les identifiants de plus de 80 extensions de navigateur.
- Capture des captures d’écran et gère les fichiers sur les appareils infectés.
- Maintient un accès distant persistant aux systèmes compromis.
Incidents précédents
Les hackers liés à la Corée du Nord ont déjà utilisé des tactiques similaires. En avril, ils ont ciblé des développeurs de crypto avec des tests de recrutement infectés par un malware lors du vol de 1,4 milliard de dollars sur Bybit.
