Cisco Talos ha riferito che un gruppo di hacker nordcoreano chiamato "Famous Chollima" ha concentrato i suoi attacchi sui candidati al lavoro nel settore delle criptovalute in India. A quanto pare, questo gruppo non ha alcun legame diretto con Lazarus.
Al momento, è difficile stabilire se questi tentativi siano stati piccoli furti o un'azione preparatoria per attacchi più ampi. Chi cerca lavoro nel settore delle criptovalute dovrebbe prestare attenzione in futuro.
Continuano gli attacchi informatici alle criptovalute in Corea del Nord
Il gruppo nordcoreano Lazarus ha una reputazione formidabile per i crimini crypto , avendo perpetrato il più grande attacco informatico nella storia del settore . Tuttavia, non è l'unica impresa criminale del Paese che sfrutta il Web3, dato che la Corea del Nord vanta una presenza enorme nella DeFi.
Cisco Talos ha identificato alcune recenti attività criminali in India che adottano un approccio diverso al furto di criptovalute:
Alcune segnalazioni suggeriscono che Famous Chollima non sia una novità: è operativo da metà del 2024 o anche prima. In diversi recenti incidenti , hacker nordcoreani hanno tentato di infiltrarsi in aziende crypto con sede negli Stati Uniti come Kraken , candidandosi per posizioni aperte.
Il famoso Chollima fece il contrario, attirando potenziali lavoratori con candidature false.
"Queste campagne includono… la creazione di falsi annunci di lavoro e pagine di test di abilità. In queste ultime, agli utenti viene chiesto di copiare e incollare una riga di comando dannosa per installare i driver necessari per condurre la fase finale del test di abilità. [Gli utenti interessati] si trovano prevalentemente in India", ha affermato l'azienda.
Accanto alla formidabile reputazione di Lazarus, gli attacchi di phishing di Famous Chollima sembrano molto più goffi. Cisco ha affermato che le applicazioni false del gruppo imitavano sempre quelle di famose aziende di criptovalute.
Queste esche non sfruttavano nessuno dei veri marchi delle aziende e ponevano domande che non avevano alcuna attinenza con i presunti lavori in questione.
Ingoiare l'esca
Le vittime vengono attirate attraverso falsi siti di reclutamento che si spacciano per note aziende tecnologiche o di criptovalute. Dopo aver compilato la domanda, vengono invitate a un videocolloquio.
Durante questo processo, il sito chiede loro di eseguire istruzioni da riga di comando, che apparentemente servono per installare i driver video, ma che in realtà scaricano e installano malware.
Una volta installato, PylangGhost offre agli aggressori il pieno controllo del sistema della vittima. Ruba credenziali di accesso, dati del browser e informazioni sul portafoglio crittografico, prendendo di mira oltre 80 estensioni popolari come MetaMask, Phantom e 1Password.
Di recente, dopo aver sventato un attacco malware, BitMEX ha affermato che Lazarus utilizza almeno due team : uno poco qualificato per violare inizialmente i protocolli di sicurezza e uno altamente qualificato per effettuare i furti successivi. Forse questa è una pratica comune nella comunità di hacker nordcoreana.
Purtroppo, è difficile trarre conclusioni definitive senza fare congetture. La Corea del Nord vuole hackerare questi candidati per presentarsi meglio come candidati in cerca di lavoro nel settore delle criptovalute?
Gli utenti devono prestare attenzione alle offerte di lavoro indesiderate, evitare di eseguire comandi sconosciuti e proteggere i propri sistemi con protezione degli endpoint, MFA e monitoraggio delle estensioni del browser.
Verificare sempre la legittimità dei portali di reclutamento prima di condividere informazioni sensibili.
L'articolo Gli hacker nordcoreani prendono di mira chi cerca lavoro nel settore delle criptovalute in India è apparso per la prima volta su BeInCrypto .