La Corea del Nord colpisce i professionisti delle criptovalute con un nuovo malware
Gli hacker nordcoreani, identificati come parte del gruppo ‘Famous Chollima’, stanno prendendo di mira individui nel settore delle criptovalute e della blockchain con sofisticati attacchi informatici. Secondo Cisco Talos, questi hacker utilizzano falsi colloqui di lavoro e siti web fraudolenti per distribuire un trojan di accesso remoto basato su Python chiamato ‘PylangGhost’. Questo malware ruba dati sensibili, comprese le credenziali per portafogli di criptovalute e gestori di password.
Come funziona l’attacco
Gli aggressori si spacciano per aziende legittime come Coinbase, Robinhood e Uniswap per creare falsi siti di lavoro. L’attacco si svolge in tre fasi:
- Falsi reclutatori prendono contatto con potenziali vittime.
- Le vittime ricevono inviti a siti web di test attitudinali progettati per raccogliere le loro informazioni.
- Falsi colloqui inducono le vittime a eseguire comandi dannosi spacciati per aggiornamenti dei driver video.
Capacità del malware
PylangGhost, una variante del GolangGhost RAT, esegue diverse attività dannose:
- Rubare credenziali da oltre 80 estensioni del browser.
- Catturare screenshot e gestire file su dispositivi infetti.
- Mantenere un accesso remoto persistente a sistemi compromessi.
Incidenti precedenti
Gli hacker legati alla Corea del Nord hanno utilizzato tattiche simili in passato. Ad aprile, hanno preso di mira sviluppatori di criptovalute con test di reclutamento infetti da malware durante il furto di 1,4 miliardi di dollari su Bybit.
