Indische Krypto-Arbeitssuchende sehen sich einer neuen Malware-Bedrohung durch mit Nordkorea verbundene Hacker ausgesetzt

Mit dem nordkoreanischen Staat verbundene Hacker zielen mit einer neuen und hochgradig zielgerichteten Malware-Kampagne auf Kryptowährungsexperten in Indien ab, so Cybersicherheitsunternehmen Cisco TalosDie Angreifer, die als eine Gruppe namens Berühmte Chollima, verwenden gefälschte Vorstellungsgespräche und betrügerische Websites zur Eignungsprüfung, um die Geräte der Benutzer mit einem neuen Python-basierten Remote Access Trojan (RAT) namens PylangGhost.

Diese Operation, die seit Mitte 2024 aktiv ist, markiert das jüngste Kapitel in Nordkoreas zunehmenden Krypto-Spionagebemühungen. Forscher von Cisco Talos enthüllten, dass sich die Angreifer als Anwerber für namhafte Krypto-Unternehmen wie Coinbase ausgeben. Uniswap, Robinhood und Archblock. Ihre Hauptziele: Softwareentwickler, Marketingfachleute und andere Spezialisten für Blockchain und digitale Assets.

Job-Köder und gefälschte Vorstellungsgespräche

Die Kampagne beginnt mit Social Engineering. Opfer werden von vermeintlichen Personalvermittlern kontaktiert und aufgefordert, überzeugende Kopien seriöser Karriereseiten von Unternehmen zu besuchen. Diese Websites bieten Kompetenztests und verlangen vertrauliche Informationen wie den vollständigen Namen, den Lebenslauf, die Wallet-Adresse und die Anmeldeinformationen.

Anschließend werden die Kandidaten angewiesen, den Kamera- und Mikrofonzugriff für ein Videointerview zu aktivieren. In dieser Phase fordern die gefälschten Recruiter die Opfer auf, bestimmte Befehle – getarnt als Videotreiberinstallationen – auszuführen, die die Installation des PylangGhost Malware.

Cisco Talos bestätigte, dass das RAT Hackern die vollständige Fernsteuerung infizierter Systeme ermöglicht und in der Lage ist, Anmeldeinformationen und Cookies von über 80 Browser-Erweiterungen zu stehlen. Dazu gehören weit verbreitete Passwortmanager und Kryptowährungs-Wallets wie MetaMask, 1Password, NordPass, Phantom, TronLink und MultiverseX.

Fortgeschrittene Malware mit dauerhaftem Zugriff

PylangGhost ist eine Python-basierte Weiterentwicklung einer bereits bekannten Bedrohung namens GolangGhostDie neue Variante zielt darauf ab Windows-Systeme Der Angriff ist ausschließlich darauf ausgelegt, Daten zu exfiltrieren und den dauerhaften Zugriff auf kompromittierte Maschinen aufrechtzuerhalten. Laut Cisco Talos scheinen Linux-Systeme von dieser Angriffswelle verschont zu bleiben.

Die Malware kann eine Vielzahl von Befehlen ausführen: Screenshots erstellen, Systemdetails erfassen, Dateien verwalten und eine kontinuierliche Fernsteuerung einrichten. Sie operiert über mehrere Command-and-Control-Server, die unter vertrauenswürdigen Domänen registriert sind, wie zum Beispiel quickcamfix.online or autodriverfix.online.

Im Gegensatz zu früheren Betrügereien konzentriert sich diese Kampagne nicht auf Massen-Phishing oder direkten Diebstahl von Börsen. Stattdessen handelt es sich um einen gezielten Angriff auf Fachleute im Krypto-Sektor, die Zugriff auf wichtige Infrastruktur, interne Tools und sensible Daten haben.

Indien: Ein wertvolles Ziel

Indien, eines der am schnellsten wachsenden Zentren für die Blockchain-Entwicklung, ist zu einem Hauptziel geworden. Viele Fachleute, die an globalen Krypto-Plattformen arbeiten, sind in Indien ansässig, und diese neue Strategie trägt direkt zu dieser Talentkonzentration bei.

Laut Dileep Kumar HV, Direktor des Digital South Trust, Indien brauche dringend Reformen, um mit dieser Art von Bedrohung umzugehen. Er forderte obligatorische Cybersicherheitsprüfungen für Blockchain-Unternehmen, verstärkte Überwachung gefälschter Jobportale und Rechtsreformen im Rahmen des indischen IT-Gesetzes.

Entdecken Sie vielversprechende Projekte...

Vielversprechende Projekte...

(Werbung)

Artikel wird fortgesetzt...

Er forderte außerdem Regierungsbehörden wie CERT-In, MEITÄT und NCIIPC die Zusammenarbeit zu intensivieren, Kampagnen zur Sensibilisierung der Öffentlichkeit zu starten und Informationen mit anderen Gerichtsbarkeiten auszutauschen.

Ein wachsendes Muster digitaler Spionage

Gefälschte Stellenangebote sind zu einem gängigen Werkzeug in nordkoreanischen Cyber-Spielbüchern geworden. Die Lazarus Group, ein weiteres mit Nordkorea verbundenes Hackerkollektiv, verwendete Anfang 2024 eine ähnliche Taktik. Sie erstellt gefälschte US-Unternehmen wie BlockNovas LLC und SoftGlide LLC um Krypto-Entwickler zu Interviews mit Malware zu verleiten.

In einem Fall gaben sich Hacker von Lazarus als ehemalige Vertragspartner aus, um bei Radiant Capital einzudringen. Dies führte zu einem Verlust von 50 Millionen Dollar. Eine gemeinsame Erklärung Japans, Südkoreas und der USA bestätigte kürzlich, dass Mit Nordkorea verbundene Gruppen stahlen Kryptowährungen im Wert von 659 Millionen US-Dollar in 2024 allein.

Bei diesen Kampagnen geht es nicht nur um Diebstahl. Sie zielen zunehmend darauf ab, Informationen zu sammeln und Krypto-Firmen von innen zu infiltrieren. Das ultimative Ziel scheint sowohl finanzieller Gewinn als auch die strategische Kontrolle über Blockchain-Systeme und -Daten zu sein.

Gegenmaßnahmen und der weitere Weg

Der Cisco Talos-Bericht ist ein Weckruf für Fachleute im Krypto-Sektor. Das Unternehmen rät zu erhöhter Wachsamkeit bei der Jobsuche, insbesondere bei der Interaktion mit neuen Plattformen, unbekannten Personalvermittlern oder unbekannten URLs.

Fachleuten wird Folgendes empfohlen:

• Vermeiden Sie es, während Vorstellungsgesprächen Software zu installieren oder Befehle auszuführen.
• Überprüfen Sie die Legitimität von Unternehmen und Personalvermittlern.
• Verwenden Sie Endpunktschutz und Anti-Malware-Tools.
• Aktualisieren Sie Passwörter regelmäßig und aktivieren Sie die Zwei-Faktor-Authentifizierung.

Unternehmen sollten außerdem ihre internen Kontrollen verschärfen und dafür sorgen, dass ihre Mitarbeiter darin geschult sind, Social-Engineering-Versuche zu erkennen und zu melden.