Cüzdan ve şifreleri hedef alıyorlar

Kuzey Kore bağlantılı bir tehdit aktörü, kripto endüstrisindeki iş arayanları hedef alan ve kripto cüzdanları ile parola yöneticilerinin şifrelerini çalmak üzere tasarlanmış yeni bir kötü amaçlı yazılım kullanıyor.

Cisco Talos çarşamba günü yayımladığı raporda, “PylangGhost” adını verdiği yeni bir Python tabanlı uzaktan erişim truva atı (RAT) keşfettiğini açıkladı. Yazılımın, “Wagemole” olarak da bilinen Kuzey Kore bağlantılı “Famous Chollima” adlı bir hacker topluluğuna ait olduğunu bildirdi.

Bu hacker grubu, özellikle Hindistan’daki kripto para ve blockchain tecrübesine sahip iş arayanları ve çalışanları, sosyal mühendislik kullanan sahte iş görüşmeleriyle hedef alıyor.

“İlan edilen pozisyonlara bakıldığında, Famous Chollima’nın kripto para ve blockchain teknolojilerinde önceki deneyime sahip kişileri geniş ölçekte hedef aldığı açıkça görülüyor.”

Sahte iş siteleri ve testler kötü amaçlı yazılım için paravan

Saldırganlar, Coinbase, Robinhood ve Uniswap gibi meşru şirketleri taklit eden sahte iş siteleri oluşturuyor ve kurbanlar çok adımlı bir süreçle yönlendiriliyor.

Bu süreçte, sahte işe alım uzmanları tarafından yapılan ilk temas, bilgi toplamanın yapıldığı beceri testi sitelerine yönlendirmeyle başlıyor.

Sonrasında kurbanlar, sahte görüşmeler sırasında video ve kamera erişimini etkinleştirmeye ikna ediliyor. Bu sırada güncel video sürücüsü yüklenmesi bahanesiyle kötü amaçlı komutları kopyalayıp çalıştırmaları sağlanıyor ve cihazları ele geçiriliyor.

Kötü amaçlı yük, kripto cüzdanları hedef alıyor

Cisco Talos, PylangGhost’un daha önce belgelenmiş olan GolangGhost RAT’ın bir varyantı olduğunu ve benzer işlevselliğe sahip olduğunu söyledi.

Yürütüldüğünde, bu komutlar enfekte sistemi uzaktan kontrol etmeyi ve 80’den fazla tarayıcı uzantısından çerez ve kimlik bilgilerini çalmayı mümkün kılıyor.

Bunlar arasında şifre yöneticileri ve kripto para cüzdanları da yer alıyor: MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink ve MultiverseX. 

Çok görevli kötü amaçlı yazılım 

Yazılım, ekran görüntüsü alma, dosya yönetimi, tarayıcı verilerini çalma, sistem bilgisi toplama ve uzaktan erişimi sürdürme gibi çok sayıda komutu yerine getirebiliyor.

Araştırmacılar ayrıca, kötü amaçlı yazılım kodundaki yorumlara bakıldığında, tehdit aktörlerinin büyük dil modelleri gibi yapay zeka araçlarını kodu yazarken kullanmadıklarının muhtemel olduğunu belirtti.

Sahte iş ilanları yeni değil

Kuzey Kore bağlantılı siber korsanların kurbanlarını sahte işler ve görüşmelerle kandırması ilk kez yaşanmıyor.

nisan ayında 1,4 milyar dolarlık Bybit soygunuyla ilişkilendirilen hackerlar, kötü amaçlı yazılım bulaştırılmış sahte işe alım testleriyle kripto geliştiricileri hedef almıştı.