Un actor de amenazas alineado con Corea del Norte ha estado atacando a personas que buscan empleo en la industria cripto con un nuevo malware diseñado para robar contraseñas de billeteras cripto y gestores de contraseñas.
Cisco Talos informó el miércoles que descubrió un nuevo troyano de acceso remoto (RAT, por sus siglas en inglés) basado en Python llamado “PylangGhost”, vinculando el malware a un colectivo de hackers afiliado a Corea del Norte conocido como “Famous Chollima”, también llamado “Wagemole”.
El grupo de hackers ha estado atacando a persona que buscan empleo y empleados con experiencia en el área de las criptomonedas y blockchain, principalmente en India, con ataques llevados a cabo a través de campañas de entrevistas de trabajo falsas utilizando ingeniería social.
“Basado en las posiciones anunciadas, está claro que Famous Chollima está atacando ampliamente a individuos con experiencia previa en tecnologías de criptomonedas y blockchain”.
Sitios de empleo falsos y pruebas como cobertura para el malware
Los atacantes crean sitios web de empleo fraudulentos que imitan a empresas legítimas, como Coinbase, Robinhood y Uniswap, y las víctimas son guiadas a través de un proceso de varios pasos.
Esto incluye un contacto inicial de reclutadores falsos que envían invitaciones a sitios web de pruebas de habilidades donde se recopila la información.
A continuación, las víctimas son invitadas a activar la cámara web para entrevistas falsas durante las cuales se les engaña para que copien y ejecuten comandos maliciosos bajo el pretexto de instalar controladores de video actualizados, lo que resulta en la infección de su dispositivo.
El carga útil busca billeteras cripto
PylangGhost es una variante del RAT GolangGhost documentado anteriormente y comparte funcionalidades similares, según Cisco Talos.
Tras la ejecución, los comandos permiten el control remoto del sistema infectado y el robo de cookies y credenciales de más de 80 extensiones de navegador, informó.
Esto incluye gestores de contraseñas y billeteras de criptomonedas, como MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink y MultiverseX.
Malware multitarea
El malware puede realizar otras tareas y ejecutar numerosos comandos, incluyendo tomar capturas de pantalla, gestionar archivos, robar datos de navegadores, recopilar información del sistema y mantener acceso remoto a sistemas infectados.
Los investigadores también señalaron que era improbable que los actores de amenazas usaran un modelo de lenguaje grande de inteligencia artificial para ayudar a escribir el código, basándose en los comentarios encontrados dentro de él.
Los señuelos de empleos falsos no son nuevos
No es la primera vez que hackers vinculados a Corea del Norte han usado empleos y entrevistas falsas para atraer a sus víctimas.
En abril, hackers relacionados con el robo de 1.400 millones de dólares a Bybit estaban atacando a desarrolladores cripto usando pruebas de reclutamiento falsas infectadas con malware.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.