Kuzey Kore bağlantılı hackerlar, kripto sektörü çalışanlarını hedef alıyor

Cisco Talos tarafından yapılan bir açıklamaya göre, Kuzey Kore bağlantılı bir tehdit aktörü, kripto para sektöründeki iş arayanları hedef alıyor. Bu saldırılar, kripto cüzdanları ve şifre yöneticileri için şifreleri çalmak amacıyla tasarlanmış yeni bir kötü amaçlı yazılım olan "PylangGhost" kullanılarak gerçekleştiriliyor.

Cisco Talos, söz konusu kötü amaçlı yazılımı "Famous Chollima" veya "Wagemole" olarak bilinen Kuzey Kore bağlantılı bir hacker grubuyla ilişkilendirdi. Bu grup, özellikle Hindistan'daki kripto para ve blockchain deneyimi olan iş arayanları ve çalışanları hedef alıyor. Saldırılar, sosyal mühendislik teknikleri kullanılarak düzenlenen sahte iş görüşmesi kampanyaları aracılığıyla gerçekleştiriliyor.

Saldırganlar, Coinbase, Robinhood ve Uniswap gibi meşru şirketleri taklit eden sahte iş siteleri oluşturuyorlar. Kurbanlar, sahte işe alım görevlilerinden gelen davetlerle başlayan ve bilgi toplama sürecinin gerçekleştiği beceri test web sitelerine yönlendiriliyor. Daha sonra, kurbanlar sahte görüşmeler için video ve kamera erişimini etkinleştirmeye yönlendiriliyor. Bu görüşmeler sırasında, güncellenmiş video sürücülerini yükleme bahanesiyle, kötü amaçlı komutları kopyalayıp yürütmeleri sağlanarak cihazlarının güvenliği tehlikeye atılıyor.

PylangGhost, daha önce belgelenen GolangGhost RAT'nin bir varyantı olup, benzer işlevselliğe sahip. Çalıştırıldığında, enfekte olmuş sistemlerin uzaktan kontrolünü sağlıyor ve 80'den fazla tarayıcı uzantısından çerezleri ve kimlik bilgilerini çalıyor. Bu uzantılar arasında MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink ve MultiverseX gibi şifre yöneticileri ve kripto para cüzdanları bulunuyor. Kötü amaçlı yazılım ayrıca ekran görüntüleri alma, dosyaları yönetme, tarayıcı verilerini çalma, sistem bilgileri toplama ve enfekte sistemlere uzaktan erişimi sürdürme gibi çeşitli görevleri de yerine getirebiliyor.

Araştırmacılar, tehdit aktörlerinin kodu yazarken yapay zeka büyük dil modellerini kullanma olasılığının düşük olduğunu belirtiyorlar. Kuzey Kore bağlantılı hackerların sahte iş ilanları ve görüşmeler kullanarak kurbanlarını tuzağa düşürmesi ilk değil. Daha önce de Bybit soygunuyla bağlantılı hackerlar, kötü amaçlı yazılımlarla enfekte edilmiş sahte işe alım testleri kullanarak kripto geliştiricilerini hedef almıştı.

Sonuç olarak, kripto para sektöründeki iş arayanların ve çalışanların, özellikle sahte iş ilanları ve görüşmeler konusunda dikkatli olmaları gerekiyor. Kimlik avı saldırılarına karşı tetikte olmak ve şüpheli bağlantılara karşı dikkatli olmak, siber güvenliği korumanın önemli bir parçasıdır.