Noord-Koreaanse hackers gebruiken PylangGhost-malware in nep-crypto-baanfraude

Een nieuwe reeks cyberaanvallen richt zich op professionals in de crypto- en blockchainindustrie met behulp van nepwervingsfraude, zo blijkt uit nieuw onderzoek van Cisco Talos. De aanvallers, die banden hebben met een Noord-Koreaanse groep genaamd Famous Chollima , imiteren legitieme bedrijven om slachtoffers te misleiden tot het installeren van malware vermomd als videodrivers.

De groep is al sinds minstens medio 2024 actief en stond voorheen bekend om tactieken zoals nep-vacatures voor ontwikkelaars en frauduleuze sollicitatieprocedures. Deze nieuwste ontwikkeling laat zien dat de operatie steeds geavanceerder wordt, met nu ook een nieuwe Python-gebaseerde malware genaamd PylangGhost, een variant van de eerder geïdentificeerde GolangGhost-trojan.

Slachtoffers worden benaderd door neprecruiters die functies aanbieden bij bedrijven die ogenschijnlijk actief zijn in de cryptosector. De slachtoffers zijn vaak softwareontwikkelaars, marketeers en ontwerpers met ervaring in cryptovaluta.

Zodra er contact is gemaakt, wordt het slachtoffer doorgestuurd naar een neppagina voor het beoordelen van vaardigheden. Deze pagina ziet eruit alsof het om een ​​echt bedrijf gaat, met bekende namen als Coinbase, Robinhood, Uniswap en anderen.

Deze pagina's maken gebruik van het React-framework en bootsen echte bedrijfsinterfaces nauwgezet na. Nadat ze hun persoonlijke gegevens hebben ingevuld en de test hebben afgerond, krijgen sollicitanten te horen dat ze een video-introductie voor het wervingsteam moeten opnemen. Hiervoor moeten ze "videodrivers" installeren door commando's te kopiëren en te plakken in hun terminal.

Met die stap wordt de malware gedownload.

Volgens de blogpost van Cicso Talos wordt er een schadelijk ZIP-bestand gedownload als het slachtoffer instructies op een Windows- of macOS-systeem volgt. Dit bestand bevat de op Python gebaseerde PylangGhost-trojan en gerelateerde scripts. De malware pakt zichzelf vervolgens uit, draait op de achtergrond en geeft aanvallers externe toegang tot de computer van het slachtoffer.

De Python-versie werkt vrijwel identiek aan zijn Go-gebaseerde tegenhanger. Het installeert zichzelf en draait elke keer dat het systeem opstart, verzamelt systeeminformatie en maakt verbinding met een command-and-control-server. Eenmaal actief, kan het externe opdrachten ontvangen en uitvoeren, inloggegevens verzamelen en browsergegevens stelen, waaronder wachtwoorden en crypto-walletsleutels .

Volgens Talos zijn meer dan 80 verschillende browserextensies aangevallen, waaronder veelgebruikte wachtwoordbeheerders en digitale wallets zoals MetaMask, 1Password, NordPass en Phantom.

De malware gebruikt RC4-encryptie voor communicatie met de server. Hoewel de datastroom versleuteld is, wordt de encryptiesleutel met de data meegestuurd, wat de veiligheid van deze methode beperkt. Toch zorgt de configuratie ervoor dat de malware niet opvalt in het reguliere verkeer en daardoor moeilijker te detecteren is.

Het doel van deze operatie is tweeledig. Ten eerste stelt het aanvallers in staat om gevoelige persoonlijke gegevens van echte werkzoekenden te verzamelen. Ten tweede opent het de deur voor nepmedewerkers om zich bij echte bedrijven aan te sluiten, wat kan leiden tot langdurige infiltratie en toegang tot waardevolle financiële gegevens of software-infrastructuur.

Tot nu toe is slechts een klein aantal slachtoffers bevestigd, voornamelijk in India. Linux-gebruikers worden niet getroffen door deze specifieke campagne. Cisco-klanten lijken op dit moment niet getroffen te zijn.

Talos merkt op dat bij de ontwikkeling van de malware geen sprake lijkt te zijn van het genereren van AI-code. Bovendien suggereert de structuur van zowel de Python- als de Go-versie dat beide door dezelfde ontwikkelaars zijn gemaakt.

Als je solliciteert naar functies in de crypto- of techsector, wees dan voorzichtig met vacatures waarbij je tijdens een sollicitatiegesprek software moet installeren of terminalopdrachten moet uitvoeren. Betrouwbare bedrijven vereisen dit niet.

Cybersecurityteams zouden de onboardingprocessen voor medewerkers moeten beoordelen, met name voor externe medewerkers, en personeel moeten voorlichten over dit soort social engineering-aanvallen. Monitoren op onverwachte uitgaande verbindingen of vreemde ZIP-downloads kan ook helpen om vroege tekenen van een inbreuk op te sporen.