Gefälschte Krypto-Jobangebote: Nordkoreanische Hacker setzen PylangGhost-Malware ein

LONDON (IT BOLTWISE) – In einer neuen Welle von Cyberangriffen zielen nordkoreanische Hacker auf Fachleute in der Krypto- und Blockchain-Branche ab, indem sie gefälschte Stellenangebote nutzen, um Malware zu verbreiten.

In einer zunehmend digitalisierten Welt, in der Kryptowährungen und Blockchain-Technologien an Bedeutung gewinnen, sind auch die Bedrohungen durch Cyberkriminalität gestiegen. Eine neue Serie von Angriffen, die von einer nordkoreanischen Hackergruppe namens Famous Chollima ausgeführt wird, zielt auf Fachleute in der Krypto- und Blockchain-Branche ab. Diese Gruppe nutzt gefälschte Stellenangebote, um ihre Opfer dazu zu bringen, Malware zu installieren, die als Videotreiber getarnt ist.

Die Hackergruppe, die seit mindestens Mitte 2024 aktiv ist, hat ihre Taktiken weiterentwickelt und setzt nun eine neue Python-basierte Malware namens PylangGhost ein. Diese Malware ist eine Variante des zuvor identifizierten GolangGhost-Trojaners. Die Angreifer geben sich als legitime Unternehmen aus und locken ihre Opfer mit vermeintlichen Jobangeboten in der Krypto-Branche.

Die Opfer, oft Softwareentwickler, Marketer und Designer mit Erfahrung im Bereich Kryptowährungen, werden von falschen Personalvermittlern kontaktiert. Diese bieten ihnen Positionen bei scheinbar renommierten Unternehmen an. Nach der Kontaktaufnahme werden die Opfer auf eine gefälschte Seite zur Kompetenzbewertung geleitet, die den Seiten bekannter Unternehmen wie Coinbase oder Robinhood täuschend ähnlich sieht.

Auf diesen Seiten, die mit dem React-Framework erstellt wurden, werden die Opfer aufgefordert, persönliche Informationen einzugeben und einen Test zu absolvieren. Anschließend sollen sie ein Video für das Einstellungsteam aufnehmen, wofür sie angeblich Videotreiber installieren müssen. Diese Installation führt zur Infektion mit der Malware.

Die Malware, die auf Windows- oder MacOS-Systemen ausgeführt wird, lädt eine bösartige ZIP-Datei herunter, die den PylangGhost-Trojaner und zugehörige Skripte enthält. Einmal installiert, läuft die Malware im Hintergrund und ermöglicht den Angreifern den Fernzugriff auf das System des Opfers. Sie sammelt Systeminformationen, verbindet sich mit einem Command-and-Control-Server und kann Befehle ausführen, Anmeldedaten stehlen und Browserdaten, einschließlich Passwörter und Krypto-Wallet-Schlüssel, entwenden.

Besonders besorgniserregend ist, dass die Malware mehr als 80 verschiedene Browsererweiterungen angreift, darunter weit verbreitete Passwortmanager und digitale Wallets wie MetaMask und 1Password. Die Kommunikation mit dem Server erfolgt über RC4-Verschlüsselung, wobei der Verschlüsselungsschlüssel zusammen mit den Daten gesendet wird, was die Sicherheit dieser Methode einschränkt.

Das Ziel dieser Operation ist zweifach: Zum einen sammeln die Angreifer sensible persönliche Daten von echten Arbeitssuchenden. Zum anderen könnten sie gefälschte Mitarbeiter in echte Unternehmen einschleusen, was zu einer langfristigen Infiltration und dem Zugang zu wertvollen Finanzdaten oder Softwareinfrastrukturen führen könnte.

Bisher wurden nur wenige Opfer bestätigt, hauptsächlich in Indien. Linux-Nutzer sind von dieser speziellen Kampagne nicht betroffen. Laut Berichten sind bisher keine Kunden von Cisco betroffen.

Experten raten dazu, bei Bewerbungen in der Krypto- oder Tech-Branche vorsichtig zu sein, insbesondere bei Stellenanzeigen, die die Installation von Software oder das Ausführen von Terminalbefehlen als Teil des Bewerbungsprozesses erfordern. Seriöse Unternehmen werden dies nicht verlangen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!