Nordkoreanische Hacker zielen mit Malware in Bewerbungen auf führende Krypto-Firmen ab

Eine nordkoreanische Hackergruppe hat es auf Krypto-Mitarbeiter abgesehen und nutzt eine Python-basierte Malware, die als Teil eines gefälschten Bewerbungsprozesses getarnt ist, wie Forscher von Cisco Talos diese Woche berichteten.

Den Open-Source-Signalen zufolge scheinen die meisten Opfer in Indien ansässig zu sein und über Erfahrung in Blockchain- und Krypto-Startups zu verfügen.

Obwohl Cisco keine Hinweise auf eine interne Kompromittierung fand, bleibt das allgemeine Risiko klar: Diese Angriffe zielen darauf ab, Zugang zu den Unternehmen zu erhalten, denen sich diese Personen möglicherweise anschließen.

Die Malware, genannt PylangGhost, ist eine neue Variante des bereits dokumentierten GolangGhost-Remote-Access-Trojans (RAT) und teilt die meisten Funktionen – nur in Python umgeschrieben, um Windows-Systeme besser zu infiltrieren.

Mac-Nutzer sind weiterhin von der Golang-Version betroffen, während Linux-Systeme unberührt bleiben. Die hinter der Kampagne stehende Bedrohungsgruppe, bekannt als Famous Chollima, ist seit Mitte 2024 aktiv und wird mit Nordkorea in Verbindung gebracht.

Ihre neueste Angriffsmethode ist simpel: Sie geben sich als Top-Krypto-Firmen wie Coinbase, Robinhood und Uniswap aus, erstellen täuschend echte Karriere-Webseiten und locken Software-Ingenieure, Marketingexperten und Designer dazu, gestellte „Eignungstests“ durchzuführen.

Sobald ein Ziel grundlegende Informationen eingibt und technische Fragen beantwortet, wird es aufgefordert, gefälschte Videotreiber zu installieren, indem ein Befehl in das Terminal eingefügt wird – was im Hintergrund den Python-basierten RAT herunterlädt und ausführt.

Die Schadsoftware versteckt sich in einer ZIP-Datei, die den umbenannten Python-Interpreter (nvidia.py), ein Visual Basic-Skript zum Entpacken des Archivs und sechs Core-Module enthält, die für Persistenz, System-Fingerprinting, Dateitransfer, Remote-Shell-Zugriff und den Diebstahl von Browser-Daten verantwortlich sind.

Der RAT stiehlt Login-Daten, Session-Cookies und Wallet-Informationen aus über 80 Erweiterungen, darunter MetaMask, Phantom, TronLink und 1Password.

Die Befehlsstruktur ermöglicht die vollständige Fernsteuerung infizierter Rechner, inklusive Datei-Uploads, Downloads, System-Recherche und dem Start einer Shell – alles über RC4-verschlüsselte HTTP-Pakete.

RC4-verschlüsselte HTTP-Pakete sind Daten, die mit einer veralteten Verschlüsselungsmethode (RC4) über das Internet gesendet werden. Obwohl die Verbindung selbst unsicher ist (HTTP), sind die Daten verschlüsselt – allerdings nur schwach, da RC4 nach heutigen Standards leicht zu knacken ist.

Trotz der Neuprogrammierung ähneln Struktur und Namensgebung von PylangGhost dem GolangGhost fast exakt, was laut Cisco darauf hindeutet, dass beide wahrscheinlich vom selben Urheber stammen.

Übersetzt von R3ktPort