Kuzey Koreli Hackerlar Sahte Kripto İş Dolandırıcılığında PylangGhost Kötü Amaçlı Yazılımını Kullanıyor

Cisco Talos'un yeni araştırmasına göre, sahte işe alım dolandırıcılıkları kullanarak kripto ve blok zinciri endüstrilerindeki profesyonelleri hedef alan yeni bir siber saldırı serisi var. Kuzey Kore yanlısı Famous Chollima adlı bir grupla bağlantılı olan saldırganlar, kurbanları video sürücüleri kılığında kötü amaçlı yazılım yüklemeleri için kandırmak amacıyla meşru şirketleri taklit ediyor.

Grup en azından 2024 ortalarından beri aktif, daha önce sahte geliştirici iş ilanları ve hileli mülakat süreçleri gibi taktiklerle biliniyordu. Bu son gelişme, operasyonun karmaşıklık içinde evrildiğini gösteriyor, şimdi daha önce tanımlanan GolangGhost trojanının bir çeşidi olan PylangGhost adlı yeni bir Python tabanlı kötü amaçlı yazılımla.

Mağdurlara, kripto sektöründeymiş gibi görünen şirketlerde pozisyonlar teklif eden sahte işe alımcılar yaklaşır. Hedefler genellikle kripto para deneyimi olan yazılım geliştiricileri, pazarlamacılar ve tasarımcılardır.

İletişim kurulduktan sonra kurban, Coinbase, Robinhood, Uniswap ve diğerleri gibi tanınmış isimler de dahil olmak üzere gerçek bir şirkete aitmiş gibi tasarlanmış sahte bir beceri değerlendirme sayfasına yönlendiriliyor.

Bu sayfalar React çerçevesini kullanır ve gerçek kurumsal arayüzleri yakından taklit eder. Kişisel bilgileri doldurduktan ve testi tamamladıktan sonra, başvuranlara işe alım ekibi için bir video tanıtımı kaydetmeleri gerektiği söylenir. Bunu yapmak için, terminallerine komutları kopyalayıp yapıştırarak "video sürücüleri" yüklemeleri istenir.

Bu adım kötü amaçlı yazılımı indirir.

Cicso Talos'un blog yazısına göre, kurban Windows veya MacOS sistemindeki talimatları izlerse, kötü amaçlı bir ZIP dosyası indirilir. Bu dosya Python tabanlı PylangGhost trojanını ve ilgili betikleri içerir. Kötü amaçlı yazılım daha sonra kendini açar, arka planda çalışır ve saldırganlara kurbanın makinesine uzaktan erişim sağlar.

Python sürümü Go tabanlı muadiliyle neredeyse aynı şekilde çalışır. Sistem her başlatıldığında çalışacak şekilde kendini kurar, sistem bilgilerini toplar ve bir komuta ve kontrol sunucusuna bağlanır. Etkinleştiğinde, uzak komutları alabilir ve yürütebilir, kimlik bilgilerini toplayabilir ve parolalar ve kripto cüzdan anahtarları dahil olmak üzere tarayıcı verilerini çalabilir.

Talos, bu saldırının MetaMask, 1Password, NordPass ve Phantom gibi yaygın olarak kullanılan parola yöneticileri ve dijital cüzdanlar da dahil olmak üzere 80'den fazla farklı tarayıcı uzantısını hedef aldığını belirtiyor.

Kötü amaçlı yazılım, sunucusuyla iletişim kurmak için RC4 şifrelemesini kullanır. Veri akışı şifrelenmiş olsa da, şifreleme anahtarı verilerle birlikte gönderilir ve bu da bu yöntemin güvenliğini sınırlar. Yine de, kurulum, normal trafiğe karışmasına yardımcı olur ve tespiti zorlaştırır.

Bu operasyonun iki amacı vardır. Birincisi, saldırganların gerçek iş arayanlardan hassas kişisel verileri toplamasına olanak tanır. İkincisi, sahte çalışanların gerçek şirketlere yerleştirilmesine kapı açar, bu da uzun vadeli sızmalara ve değerli finansal verilere veya yazılım altyapısına erişime yol açabilir.

Şimdiye kadar yalnızca az sayıda kurban doğrulandı, çoğu Hindistan'da. Linux kullanıcıları bu özel kampanyadan etkilenmedi. Şu anda hiçbir Cisco müşterisinin etkilenmediği görülüyor.

Talos, kötü amaçlı yazılımın geliştirilmesinin yapay zeka kod üretimi içermediğini ve hem Python hem de Go sürümlerinin yapısının her ikisini de aynı geliştiricilerin oluşturduğunu düşündürdüğünü belirtiyor.

Kripto veya teknoloji alanındaki rollere başvuruyorsanız, bir mülakatın parçası olarak yazılım yüklemenizi veya terminal komutları çalıştırmanızı isteyen iş ilanlarına karşı dikkatli olun. Meşru şirketler bunu talep etmeyecektir.

Siber güvenlik ekipleri, özellikle uzaktan işe alımlar için çalışan katılım süreçlerini gözden geçirmeli ve personeli bu tür sosyal mühendislik saldırıları hakkında eğitmelidir. Beklenmeyen giden bağlantılar veya garip ZIP indirmeleri için izleme yapmak, erken tehlike belirtilerini yakalamaya da yardımcı olabilir.