Coreia do Norte mira profissionais de criptomoedas com novo malware
Hackers norte-coreanos, identificados como parte do grupo ‘Famous Chollima’, estão visando indivíduos nos setores de criptomoedas e blockchain com ciberataques sofisticados. De acordo com a Cisco Talos, esses hackers usam entrevistas de emprego falsas e sites fraudulentos para distribuir um cavalo de Troia de acesso remoto baseado em Python chamado ‘PylangGhost’. Este malware rouba dados sensíveis, incluindo credenciais para carteiras de criptomoedas e gerenciadores de senhas.
Como o ataque funciona
Os atacantes se passam por empresas legítimas como Coinbase, Robinhood e Uniswap para criar sites de emprego falsos. O ataque se desenrola em três etapas:
- Recrutadores falsos iniciam contato com potenciais vítimas.
- As vítimas recebem convites para sites de teste de habilidades projetados para coletar suas informações.
- Entrevistas falsas enganam as vítimas para executar comandos maliciosos disfarçados de atualizações de drivers de vídeo.
Capacidades do malware
O PylangGhost, uma variante do GolangGhost RAT, realiza várias atividades maliciosas:
- Rouba credenciais de mais de 80 extensões de navegador.
- Captura screenshots e gerencia arquivos em dispositivos infectados.
- Mantém acesso remoto persistente a sistemas comprometidos.
Incidentes anteriores
Hackers ligados à Coreia do Norte já usaram táticas semelhantes. Em abril, eles visaram desenvolvedores de criptomoedas com testes de recrutamento infectados com malware durante o roubo de US$ 1,4 bilhão da Bybit.
