Cisco Talos: Kuzey Koreli Tehdit ’PylangGhost’, Sahte İş Siteleri Üzerinden Kripto Çalışanlarını Hedef Alıyor
Cisco'nun tehdit istihbarat birimi Cisco Talos, 'PylangGhost' adlı yeni bir Python tabanlı kötü amaçlı yazılım tespit etti. Bu yazılım, Kuzey Koreli hack grubu Famous Chollima ile bağlantılı.
Cisco Talos'un son blog yazısına göre, PylangGhost, kripto endüstrisinde iş arayanların donanımlarına sızmak için Kuzey Kore bağlantılı siber tehdit aktörleri tarafından özel olarak kullanılıyor.
PylangGhost, Aralık 2024'te Cisco Talos tarafından keşfedilen GolangGhost RAT ile benzer şekilde çalışan yeni bir Python tabanlı uzaktan erişim truva atıdır.
Son olarak, siber güvenlik firması, Famous Chollima adlı hack grubunun Windows sistemlerine sızmak için bu yazılımı aktif olarak kullandığını, aynı zamanda MacOS kullanıcıları için Golang tabanlı bir versiyonunu da dağıtmaya devam ettiğini tespit etti. Şimdiye kadar, açık kaynaklı veriler, kötü amaçlı yazılımdan etkilenen kurbanların çoğunun Hindistan merkezli olduğunu gösteriyor.
Famous Chollima, 'Wagemole' lakabıyla da biliniyor çünkü sahte iş ilanları üzerinden şifreleri çalmaya, kullanıcıların kripto cüzdanlarına sızmaya ve diğer hassas bilgileri ele geçirmeye yönelik tekrarlanan girişimleri bulunuyor.
Kuzey Koreli hackerlar kurbanlarını nasıl yakalıyor?
Rapora göre, hack grubu kurbanlarını sosyal mühendislik kullanarak sahte iş görüşmesi kampanyalarıyla tuzağa düşürüyor. Saldırganlar daha sonra Coinbase, Robinhood ve Uniswap gibi büyük kripto şirklerini taklit eden sahte iş siteleri oluşturuyor.
Kurbanlar daha sonra sahte işe alım uzmanları tarafından başlatılan birden fazla adıma katılmaya davet ediliyor. Ardından, kişisel bilgilerinin toplandığı sahte beceri testi web sitelerini açmaya yönlendiriliyorlar.
Sahte görüşme için hazırlanırken, kullanıcılar siteye kamera ve mikrofon erişimi izni vermeye ikna ediliyor. Bu aşamada, sahte işe alım uzmanı, güncellenmiş video sürücülerini yükleme bahanesiyle kötü amaçlı komutları kopyalamalarını ve çalıştırmalarını istiyor.
Komutun çalıştırılmasıyla birlikte kötü amaçlı yazılım cihaza sızıyor. Bu komut, enfekte cihazın uzaktan kontrol edilmesini sağlıyor ve saldırganlara 80'den fazla tarayıcı uzantısından çerezler ve kimlik bilgilerine erişim imkanı tanıyor.
Bu erişim, MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink ve MultiverseX gibi şifre yöneticileri ve kripto cüzdanlarını da kapsıyor.
Nisan ayında kripto tarafından bildirildiği gibi, bir diğer Kuzey Koreli hack kolektifi Lazarus Grubu da benzer yöntemlerle kullanıcıları tuzağa düşürmüştü. Saldırganlar, Kuzey Kore siber operasyonlarıyla bağlantılı en az üç kötü amaçlı yazılım türüyle sahte iş başvuruları dağıtmıştı.
Çeviren: Sh0gunZ
