Cisco Talos: ภัยคุกคามใหม่ ’PylangGhost’ จากเกาหลีเหนือ กำหนดเป้าหมายผู้ทำงานในอุตสาหกรรมคริปโตผ่านเว็บไซต์งานปลอม
Cisco Talos หน่วยงานข่าวกรองภัยคุกคามของ Cisco ได้ตรวจพบมัลแวร์ใหม่ที่ใช้ภาษา Python ชื่อ 'PylangGhost' ซึ่งเชื่อมโยงกับกลุ่มแฮ็กเกอร์จากเกาหลีเหนือ Famous Chollima
ตามบล็อกโพสต์ล่าสุดของ Cisco Talos PylangGhost ถูกใช้โดยกลุ่มภัยคุกคามทางไซเบอร์ที่เกี่ยวข้องกับเกาหลีเหนือเพื่อแทรกซึมเข้าสู่ฮาร์ดแวร์ของนักหางานที่กำลังมองหาตำแหน่งในอุตสาหกรรมคริปโต
PylangGhost เป็น Remote Access Trojan (RAT) แบบใหม่ที่ใช้ Python ซึ่งทำงานคล้ายกับ GolangGhost RAT ที่เคยมีการบันทึกไว้ก่อนหน้านี้ และถูกค้นพบโดย Cisco Talos เมื่อเดือนธันวาคม 2024
ล่าสุด บริษัทความมั่นคงปลอดภัยทางไซเบอร์พบว่ามันถูกใช้งานอย่างต่อเนื่องโดยกลุ่มแฮ็กเกอร์ Famous Chollima เพื่อแทรกซึมระบบ Windows ในขณะที่ยังคงใช้งานเวอร์ชันที่ใช้ Golang สำหรับผู้ใช้ MacOS ข้อมูลโอเพนซอร์สชี้ให้เห็นว่าผู้เสียส่วนใหญ่ที่ได้รับผลกระทบจากมัลแวร์นี้อยู่ในอินเดีย
Famous Chollima มีชื่อเล่นว่า "Wagemole" เนื่องจากความพยายามซ้ำๆ ในการขโมยรหัสผ่าน แทรกซึมกระเป๋าเงินคริปโตของผู้ใช้ และขโมยข้อมูลสำคัญอื่นๆ ผ่านการเสนองานปลอมทางออนไลน์
แฮ็กเกอร์เกาหลีเหนือล่อเหยื่อได้อย่างไร?
ตามรายงาน กลุ่มแฮ็กเกอร์ล่อเหยื่อผ่านแคมเปญสัมภาษณ์งานปลอมโดยใช้วิศวกรรมสังคม ผู้โจมตีสร้างเว็บไซต์งานปลอมที่เลียนแบบบริษัทคริปโตรายใหญ่ เช่น Coinbase, Robinhood และ Uniswap เป็นต้น
เหยื่อจะถูกขอให้เข้าร่วมในหลายขั้นตอนที่เริ่มต้นโดยผู้รับสมัครงานปลอม จากนั้นจะได้รับเชิญให้เปิดเว็บไซต์ทดสอบทักษะปลอมที่รวบรวมข้อมูลส่วนบุคคล
เมื่อเตรียมตัวสำหรับการสัมภาษณ์งานปลอม ผู้ใช้จะถูกหลอกให้เปิดสิทธิ์การเข้าถึงกล้องและไมโครโฟนให้กับเว็บไซต์ ในขั้นตอนนี้ ผู้รับสมัครงานปลอมจะขอให้พวกเขาคัดลอกและรันคำสั่งที่เป็นอันตรายโดยอ้างว่าเป็นการติดตั้งไดรเวอร์วิดีโอที่อัปเดต
เมื่อคำสั่งถูกดำเนินการ มัลแวร์จะสามารถแทรกซึมเข้าสู่อุปกรณ์ได้ คำสั่งนี้ช่วยให้สามารถควบคุมอุปกรณ์ที่ติดเชื้อจากระยะไกล และให้ผู้โจมตีเข้าถึงคุกกี้และข้อมูลรับรองจากส่วนขยายเบราว์เซอร์กว่า 80 รายการ
ซึ่งรวมถึงการเข้าถึงตัวจัดการรหัสผ่านและกระเป๋าเงินคริปโต เช่น MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink และ MultiverseX
ตามที่เคยรายงานโดย crypto ในเดือนเมษายนที่ผ่านมา กลุ่มแฮ็กเกอร์เกาหลีเหนืออีกกลุ่มหนึ่งคือ Lazarus Group ก็ใช้วิธีการคล้ายกันเพื่อล่อผู้ใช้ ผู้โจมตีจะใช้ใบสมัครงานปลอมพร้อมกับมัลแวร์อย่างน้อย 3 สายพันธุ์ที่เชื่อมโยงกับการดำเนินการทางไซเบอร์ของเกาหลีเหนือ
แปลโดย W4ll3tX
