David Edwards
Un gruppu di ciberspionaggio allinatu cù a Corea di u Nordu hà lanciatu una nova onda d'attacchi mirati contr'à i prufessiunali di e criptovalute, implementendu malware cuncipitu per raccoglie credenziali sensibili da portafogli digitali è gestori di password. A campagna hè stata attribuita à "Famous Chollima", cunnisciutu ancu cum'è "Wagemole", un attore di minaccia prima ligatu à a Corea di u Nordu, secondu un rapportu di Cisco Talos publicatu mercuri.
L'attaccu sfrutta un trojan d'accessu remotu (RAT) basatu annantu à Python chjamatu PylangGhost, chì i circadori anu identificatu cum'è una variante di u precedente GolangGhost RAT. U malware dà à l'attaccanti un cuntrollu remotu cumpletu annantu à i sistemi infettati, permettendu li di arrubà cookies, credenziali di navigatore è dati sensibili da più di 80 estensioni di navigatore. I bersagli includenu applicazioni di portafogli crittografici cum'è MetaMask, Phantom, TronLink è MultiverseX, è ancu gestori di password cum'è 1Password è NordPass.
A campagna pare fucalizza si principalmente nantu à i prufessiunali basati in India cù sperienza in blockchain è criptovalute. E vittime sò reclutate per mezu di falsi annunci di travagliu nantu à siti web falsificati chì si impersonanu cumpagnie cum'è Coinbase, Robinhood è Uniswap. Una volta stabilitu u cuntattu iniziale, l'attaccanti si fingenu reclutatori è dirigenu e vittime versu piattaforme di test di cumpetenze false.
Durante l'interviste messe in scena, e vittime sò ingannate per attivà l'accessu à a camera è eseguisce cumandamenti di terminale sottu u pretestu di l'aghjurnamentu di i driver video - passi chì installanu senza sapè u payload maliziosu. E capacità di u malware vanu oltre u furtu di dati, cumprese a gestione di i fugliali, a cattura di screenshot, a ricunniscenza di u sistema è l'accessu remotu persistente.
I circadori di Cisco Talos anu nutatu chì, malgradu a cumplessità di u malware, ùn ci hè nisuna prova chì i grandi mudelli linguistici o strumenti di IA eranu implicati in a scrittura di u so codice.
Sta forma d'ingegneria suciale - chì sfrutta l'aspirazioni prufessiunali in l'industria di e criptovalute - hè diventata una caratteristica di l'operazioni cibernetiche ligate à a Corea di u Nordu. In aprile, a stessa tattica hè stata aduprata per indirizzà i sviluppatori cunnessi à l'attaccu Bybit di 1.4 miliardi di dollari per mezu di testi di recrutamentu infettati da malware.
