David Edwards
Một nhóm gián điệp mạng liên kết với Triều Tiên đã phát động một làn sóng tấn công mới nhắm vào các chuyên gia tiền điện tử, triển khai phần mềm độc hại được thiết kế để thu thập thông tin đăng nhập nhạy cảm từ ví kỹ thuật số và trình quản lý mật khẩu. Chiến dịch này được cho là do "Famous Chollima", còn được gọi là "Wagemole", một tác nhân đe dọa trước đây có liên quan đến Triều Tiên, theo báo cáo từ Cisco Talos công bố hôm thứ Tư.
Cuộc tấn công này tận dụng trojan truy cập từ xa (RAT) dựa trên Python có tên PylangGhost, mà các nhà nghiên cứu đã xác định là một biến thể của GolangGhost RAT trước đó. Phần mềm độc hại này cấp cho kẻ tấn công quyền kiểm soát hoàn toàn từ xa đối với các hệ thống bị nhiễm, cho phép chúng đánh cắp cookie, thông tin đăng nhập trình duyệt và dữ liệu nhạy cảm từ hơn 80 tiện ích mở rộng trình duyệt. Các mục tiêu bao gồm các ứng dụng ví tiền điện tử như MetaMask, Phantom, TronLink và MultiverseX, cũng như các trình quản lý mật khẩu như 1Password và NordPass.
Chiến dịch này dường như chủ yếu tập trung vào các chuyên gia có trụ sở tại Ấn Độ có kinh nghiệm về blockchain và tiền điện tử. Nạn nhân được tuyển dụng thông qua các bài đăng việc làm giả mạo trên các trang web giả mạo mạo danh các công ty như Coinbase, Robinhood và Uniswap. Sau khi thiết lập được liên hệ ban đầu, những kẻ tấn công đóng giả làm người tuyển dụng và hướng dẫn nạn nhân đến các nền tảng kiểm tra kỹ năng giả mạo.
Trong các cuộc phỏng vấn dàn dựng, nạn nhân bị lừa bật quyền truy cập camera và thực hiện lệnh đầu cuối dưới vỏ bọc là cập nhật trình điều khiển video—các bước vô tình cài đặt phần mềm độc hại. Khả năng của phần mềm độc hại vượt xa việc đánh cắp dữ liệu, bao gồm quản lý tệp, chụp ảnh màn hình, do thám hệ thống và truy cập từ xa liên tục.
Các nhà nghiên cứu của Cisco Talos lưu ý rằng, mặc dù phần mềm độc hại này rất phức tạp, nhưng không có bằng chứng nào cho thấy các mô hình ngôn ngữ lớn hoặc công cụ AI được sử dụng để viết mã của nó.
Hình thức kỹ thuật xã hội này—khai thác nguyện vọng nghề nghiệp trong ngành công nghiệp tiền điện tử—đã trở thành đặc điểm của các hoạt động mạng liên quan đến Triều Tiên. Vào tháng 1.4, chiến thuật tương tự đã được sử dụng để nhắm mục tiêu vào các nhà phát triển có liên quan đến vụ hack Bybit trị giá XNUMX tỷ đô la thông qua các bài kiểm tra tuyển dụng bị nhiễm phần mềm độc hại.
