Triều Tiên Triển Khai Phần Mềm Độc Hại Mới Nhắm Vào Chuyên Gia Tiền Điện Tử
Các tin tặc Triều Tiên sử dụng các trang web việc làm giả và phỏng vấn để phân phối phần mềm độc hại nhằm đánh cắp thông tin đăng nhập ví tiền điện tử từ các chuyên gia blockchain.
Một tác nhân đe dọa liên kết với Triều Tiên đã nhắm vào các chuyên gia trong lĩnh vực tiền điện tử với phần mềm độc hại mới được thiết kế để đánh cắp mật khẩu cho ví tiền điện tử và trình quản lý mật khẩu.
Các chuyên gia bảo mật đã xác định một con trojan truy cập từ xa dựa trên Python mới có tên 'PylangGhost'. Phần mềm độc hại này được liên kết với một nhóm tin tặc Triều Tiên có tên 'Famous Chollima' hoặc 'Wagemole'.
Nhóm này chủ yếu nhắm vào những người tìm việc và nhân viên có chuyên môn về tiền điện tử và blockchain, đặc biệt là ở Ấn Độ, thông qua các chiến dịch phỏng vấn việc làm lừa đảo.
“Dựa trên các vị trí được quảng cáo, rõ ràng là Famous Chollima đang nhắm mục tiêu rộng rãi vào những cá nhân có kinh nghiệm trước đây trong công nghệ tiền điện tử và blockchain.”
Sử Dụng Trang Web Việc Làm Giả Để Phân Phối Phần Mềm Độc Hại
Những kẻ tấn công thiết lập các trang web việc làm giả mạo các công ty nổi tiếng như Coinbase, Robinhood và Uniswap. Nạn nhân được dẫn qua một quy trình nhiều bước, bắt đầu từ việc liên lạc với các nhà tuyển dụng giả mời họ đến các trang web kiểm tra kỹ năng để thu thập dữ liệu.
Nạn nhân sau đó bị lừa mở camera và video cho các cuộc phỏng vấn giả, nơi họ bị ép buộc thực hiện các lệnh độc hại được ngụy trang dưới dạng cập nhật cho trình điều khiển video, dẫn đến việc thiết bị bị xâm nhập.
Phần Mềm Độc Hại Tập Trung Vào Ví Tiền Điện Tử
PylangGhost là một biến thể của con trojan GolangGhost RAT đã biết trước đây, chia sẻ các chức năng tương tự. Khi được kích hoạt, nó cho phép điều khiển từ xa hệ thống bị nhiễm và đánh cắp cookie và thông tin đăng nhập từ hơn 80 tiện ích mở rộng trình duyệt.
Điều này bao gồm việc nhắm vào các trình quản lý mật khẩu và ví tiền điện tử như MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink và MultiverseX.
Khả Năng Đa Nhiệm Của Phần Mềm Độc Hại
Phần mềm độc hại có khả năng thực hiện nhiều nhiệm vụ, bao gồm chụp ảnh màn hình, quản lý tệp, đánh cắp dữ liệu trình duyệt, thu thập thông tin hệ thống và duy trì quyền truy cập từ xa liên tục vào các hệ thống bị xâm nhập.
Các nhà nghiên cứu tin rằng mã của phần mềm độc hại này không được tạo ra bằng mô hình ngôn ngữ lớn của AI, dựa trên các nhận xét được tìm thấy trong mã.
Sử Dụng Lời Mời Việc Làm Giả Lặp Lại
Đây không phải là lần đầu tiên các tin tặc Triều Tiên sử dụng các lời mời việc làm và phỏng vấn giả để nhắm vào nạn nhân. Vào tháng Tư, các tin tặc liên quan đến vụ cướp Bybit trị giá 1,4 tỷ đô la đã sử dụng các chiến thuật tương tự, nhắm vào các nhà phát triển tiền điện tử với các bài kiểm tra tuyển dụng bị nhiễm phần mềm độc hại.
Theo Cointelegraph
Tin khác
