Nordkoreanische Hacker nutzen PylangGhost-Malware für gefälschten Krypto-Job-Betrug

Eine neue Serie von Cyberangriffen zielt auf Fachkräfte der Krypto- und Blockchain-Branche ab. Dabei werden gefälschte Rekrutierungsbetrügereien eingesetzt, wie eine neue Studie von Cisco Talos zeigt. Die Angreifer, die mit der nordkoreanischen Gruppe Famous Chollima in Verbindung stehen, geben sich als seriöse Unternehmen aus, um Opfer zur Installation von als Grafiktreiber getarnter Schadsoftware zu verleiten.

Die Gruppe ist seit mindestens Mitte 2024 aktiv und war bereits für Taktiken wie gefälschte Stellenausschreibungen für Entwickler und betrügerische Bewerbungsverfahren bekannt. Die jüngste Entwicklung zeigt, dass die Operation immer raffinierter wird. Sie umfasst nun eine neue Python-basierte Schadsoftware namens PylangGhost, eine Variante des bereits identifizierten GolangGhost-Trojaners.

Opfer werden von gefälschten Personalvermittlern angesprochen, die Stellen bei Unternehmen anbieten, die scheinbar im Krypto-Sektor tätig sind. Zielpersonen sind oft Softwareentwickler, Vermarkter und Designer mit Erfahrung im Bereich Kryptowährungen.

Sobald Kontakt hergestellt ist, wird das Opfer auf eine gefälschte Seite zur Fähigkeitsbewertung weitergeleitet, die so gestaltet ist, als gehöre sie zu einem echten Unternehmen, darunter bekannte Namen wie Coinbase, Robinhood, Uniswap und andere.

Diese Seiten verwenden das React-Framework und imitieren reale Unternehmensoberflächen. Nach dem Ausfüllen der persönlichen Daten und dem Abschluss des Tests werden die Bewerber aufgefordert, eine Videoeinführung für das Einstellungsteam aufzunehmen. Dazu werden sie gebeten, „Videotreiber“ zu installieren, indem sie Befehle kopieren und in ihr Terminal einfügen.

Dieser Schritt lädt die Malware herunter.

Laut einem Blogbeitrag von Cisco Talos wird eine schädliche ZIP-Datei heruntergeladen, wenn das Opfer den Anweisungen auf einem Windows- oder macOS-System folgt. Diese enthält den Python-basierten PylangGhost-Trojaner und zugehörige Skripte. Die Malware entpackt sich anschließend selbst, läuft im Hintergrund und ermöglicht Angreifern Fernzugriff auf den Rechner des Opfers.

Die Python-Version funktioniert nahezu identisch mit ihrem Go-basierten Gegenstück. Sie installiert sich automatisch bei jedem Systemstart, sammelt Systeminformationen und verbindet sich mit einem Command-and-Control-Server. Sobald sie aktiv ist, kann sie Remote-Befehle empfangen und ausführen, Anmeldeinformationen sammeln und Browserdaten, einschließlich Passwörter und Krypto-Wallet-Schlüssel , stehlen.

Laut Talos zielt es auf mehr als 80 verschiedene Browsererweiterungen ab, darunter weit verbreitete Passwortmanager und digitale Geldbörsen wie MetaMask, 1Password, NordPass und Phantom.

Die Malware verwendet RC4-Verschlüsselung für die Kommunikation mit ihrem Server. Obwohl der Datenstrom verschlüsselt ist, wird der Verschlüsselungsschlüssel zusammen mit den Daten gesendet, was die Sicherheit dieser Methode einschränkt. Dennoch trägt diese Konfiguration dazu bei, dass die Malware sich in den normalen Datenverkehr einfügt und die Erkennung erschwert.

Diese Operation verfolgt zwei Ziele. Erstens ermöglicht sie es Angreifern, sensible persönliche Daten von echten Arbeitssuchenden zu sammeln. Zweitens ermöglicht sie es, falsche Mitarbeiter in echte Unternehmen einzuschleusen, was zu einer langfristigen Infiltration und dem Zugriff auf wertvolle Finanzdaten oder Software-Infrastruktur führen könnte.

Bisher wurde nur eine geringe Anzahl von Opfern bestätigt, hauptsächlich in Indien. Linux-Nutzer sind von dieser Kampagne nicht betroffen. Cisco-Kunden scheinen derzeit nicht betroffen zu sein.

Talos weist darauf hin, dass bei der Entwicklung der Malware offenbar keine KI-Codegenerierung zum Einsatz kommt und dass die Struktur der Python- und Go-Versionen darauf schließen lässt, dass beide von denselben Entwicklern erstellt wurden.

Wenn Sie sich auf Stellen im Krypto- oder Technologiebereich bewerben, seien Sie vorsichtig bei Stellenausschreibungen, die Sie im Rahmen eines Vorstellungsgesprächs auffordern, Software zu installieren oder Terminalbefehle auszuführen. Seriöse Unternehmen verlangen dies nicht.

Cybersicherheitsteams sollten die Onboardingprozesse von Mitarbeitern , insbesondere bei Remote-Mitarbeitern, überprüfen und sie über diese Art von Social-Engineering-Angriffen aufklären. Die Überwachung unerwarteter ausgehender Verbindungen oder ungewöhnlicher ZIP-Downloads kann ebenfalls helfen, frühzeitige Anzeichen einer Kompromittierung zu erkennen.