Kuzey Kore, Kripto Profesyonellerini Hedef Alan Yeni Bir Kötü Amaçlı Yazılım Kullanıyor
Kuzey Koreli bilgisayar korsanları, ‘Famous Chollima’ grubunun bir parçası olarak tanımlanıyor ve kripto para ile blockchain sektörlerindeki bireyleri sofistike siber saldırılarla hedefliyor. Cisco Talos‘a göre, bu bilgisayar korsanları sahte iş görüşmeleri ve dolandırıcılık amaçlı web siteleri kullanarak ‘PylangGhost’ adlı Python tabanlı bir uzaktan erişim truva atı dağıtıyor. Bu kötü amaçlı yazılım, kripto para cüzdanları ve şifre yöneticileri için kimlik bilgileri de dahil olmak üzere hassas verileri çalıyor.
Saldırı Nasıl İşliyor
Saldırganlar, Coinbase, Robinhood ve Uniswap gibi meşru şirketleri taklit ederek sahte iş siteleri oluşturuyor. Saldırı üç aşamada gerçekleşiyor:
- Sahte işe alım uzmanları potansiyel kurbanlarla iletişime geçiyor.
- Kurbanlar, bilgilerini toplamak için tasarlanmış beceri testi web sitelerine davet ediliyor.
- Sahte görüşmeler, kurbanları video sürücü güncellemeleri olarak gizlenmiş kötü amaçlı komutları çalıştırmaya ikna ediyor.
Kötü Amaçlı Yazılımın Yetenekleri
PylangGhost, GolangGhost RAT‘ın bir varyantı olarak birkaç kötü amaçlı aktivite gerçekleştiriyor:
- 80’den fazla tarayıcı uzantısından kimlik bilgilerini çalıyor.
- Enfekte olmuş cihazlarda ekran görüntüleri alıyor ve dosyaları yönetiyor.
- Ele geçirilmiş sistemlere sürekli uzaktan erişim sağlıyor.
Önceki Olaylar
Kuzey Kore bağlantılı bilgisayar korsanları benzer taktikleri daha önce de kullanmıştı. Nisan ayında, 1.4 milyar dolarlık Bybit soygunu sırasında kripto geliştiricilerini kötü amaçlı yazılım bulaşmış işe alım testleriyle hedeflemişlerdi.
