งานคริปโตตกอยู่ในอันตราย: แฮ็กเกอร์เกาหลีเหนือโจมตีอีกครั้งด้วยมัลแวร์ใหม่

ตามรายงานของ Cisco Talos กลุ่มแฮ็กเกอร์ที่เชื่อมโยงกับเกาหลีเหนือได้เพิ่มความพยายามในการกำหนดเป้าหมายผู้หางานด้านคริปโตในอินเดียด้วยมัลแวร์ประเภท Remote Access Trojan (RAT) ที่เขียนด้วย Python

แคมเปญนี้ใช้เว็บไซต์งานปลอมและกระบวนการสัมภาษณ์ที่จัดฉากเพื่อหลอกล่อให้ผู้สมัครทำงานรันโค้ดที่เป็นอันตราย ผู้ที่ตกเป็นเหยื่อจะสูญเสียกุญแจกระเป๋าเงินดิจิทัลและตัวจัดการรหัสผ่าน

แพลตฟอร์มงานปลอม

ผู้หางานถูกหลอกล่อด้วยประกาศรับสมัครงานที่เลียนแบบบริษัทใหญ่ๆ เช่น Coinbase, Robinhood และ Uniswap โดยนักสรรหาจะติดต่อผ่าน LinkedIn หรืออีเมล แล้วเชิญผู้สมัครไปยังเว็บไซต์ "ทดสอบทักษะ" ซึ่งดูเหมือนไม่มีพิษมีภัย แต่เบื้องหลังเว็บไซต์กำลังเก็บรวบรวมรายละเอียดระบบและข้อมูลเบราว์เซอร์

กระบวนการสัมภาษณ์ที่หลอกลวง

หลังการทดสอบ ผู้สมัครจะถูกเชิญเข้าร่วมสัมภาษณ์แบบวิดีโอสด โดยถูกบอกให้อัปเดตไดรเวอร์กล้อง จากนั้นจะถูกให้คัดลอกและวางคำสั่งลงในหน้าต่างเทอร์มินัล การคลิกเพียงครั้งเดียวจะทำให้ติดตั้งมัลแวร์ PylangGhost ทั้งแผนการดำเนินไปอย่างราบรื่นจนกระทั่งมัลแวร์เข้าควบคุมระบบ

PylangGhost เป็นการพัฒนาต่อจากเครื่องมือ GolangGhost ที่เคยใช้มาก่อน เมื่อเปิดใช้งานแล้ว มันจะขโมยคุกกี้และรหัสผ่านจากส่วนขยายเบราว์เซอร์กว่า 80 รายการ รวมถึง MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink และ MultiverseX

โทรจันนี้จะเปิดช่องหลังให้สามารถควบคุมระบบจากระยะไกลได้ มันสามารถถ่ายภาพหน้าจอ จัดการไฟล์ ขโมยข้อมูลเบราว์เซอร์ และคงอยู่บนระบบโดยไม่ถูกตรวจพบ

แฮ็กเกอร์เกาหลีเหนือเคยใช้แบบทดสอบการรับสมัครงานปลอมในเดือนเมษายน ก่อนจะโจรกรรมเงิน 1.4 พันล้านดอลลาร์จาก Bybit และเคยใช้กลวิธีคล้ายกันด้วยไฟล์ PDF ที่ติดมัลแวร์และลิงก์อันตราย

กลุ่มนี้ซึ่งรู้จักกันในชื่อ Famous Chollima หรือ Wagemole ได้ขโมยเงินหลายล้านดอลลาร์ผ่านการเจาะกระเป๋าเงินคริปโตตั้งแต่ปี 2019 เป้าหมายของพวกเขาง่ายๆ คือการได้มาซึ่งข้อมูลประจำตัวที่ถูกต้องเพื่อโอนเงินออกไปอย่างเงียบๆ

ทีมรักษาความปลอดภัยกำลังเฝ้าระวัง พวกเขาแนะนำให้ตรวจสอบทุก URL เพื่อหาข้อผิดพลาดในการสะกดและโดเมนที่แปลกตา ผู้เชี่ยวชาญแนะนำให้ตรวจสอบข้อเสนองานผ่านช่องทางที่น่าเชื่อถือ

เครื่องมือตรวจจับจุดปลายทางควรแจ้งเตือนเมื่อมีสคริปต์ที่เรียกใช้เซิร์ฟเวอร์ระยะไกล และการใช้การยืนยันตัวตนหลายปัจจัยสามารถป้องกันไม่ให้รหัสผ่านที่ถูกขโมยให้การเข้าถึงเต็มรูปแบบ

การเตือนนี้แสดงให้เห็นว่าผู้โจมตีที่เชื่อมโยงกับรัฐบาลจะทำทุกอย่างเพื่อขโมยสินทรัพย์คริปโต การผสมผสานระหว่างวิศวกรรมสังคมและมัลแวร์ที่ออกแบบมาเฉพาะเป็นความเสี่ยงที่รุนแรง ผู้ที่กำลังหางานในวงการบล็อกเชนควรตรวจสอบทุก LINK และไม่ควรรันโค้ดที่ไม่ได้รับการยืนยัน

การเก็บกระเป๋าเงินฮาร์ดแวร์แบบออฟไลน์และการใช้โปรไฟล์แยกต่างหากสำหรับการหางานสามารถลดความเสี่ยงได้ ความตื่นตัวในกระบวนการจ้างงานและการควบคุมทางเทคนิคที่แข็งแกร่งยังคงเป็นแนวป้องกันที่ดีที่สุดต่อภัยคุกคามที่พัฒนาขึ้นเหล่านี้

ภาพประกอบจาก Shutterstock, กราฟจาก TradingView

แปลโดย QuantumCoin99