Un grupo de piratería de Corea del Norte se dirige a trabajadores criptográficos con malware basado en Python disfrazado de un proceso falso de solicitud de empleo, Cisco Talos Investigadores dijo antes esta semana.
La mayoría de las víctimas parecen estar basadas en la India, según las señales de código abierto, y parecen ser personas con experiencia previa en blockchain y startups de criptomonedas.
Aunque Cisco no informa ninguna evidencia de compromiso interno, el riesgo más amplio sigue siendo claro: que estos esfuerzos están tratando de acceder a las empresas a las que estas personas podrían unirse.
El software malicioso, llamado Pylangghost, es una nueva variante de troyano (rata) (rata) previamente documentado, y comparte la mayoría de las mismas características, solo reescritas en Python para apuntar mejor a los sistemas de Windows.
Los usuarios de Mac continúan afectados por la versión de Golang, mientras que los sistemas Linux no parecen estar afectados. El actor de amenaza detrás de la campaña, conocido como el famoso Chollima, ha estado activo desde mediados de 2010 y es un grupo alineado por el RPDC.
Su último vector de ataque es simple: imitar las mejores compañías de criptografía como Coinbase, Robinhood y Uniswap a través de sitios profesionales falsos muy educados y atraer ingenieros de software, especialistas en marketing y diseñadores para terminar “pruebas de habilidades”.
Una vez que un objetivo llena información básica y responde preguntas técnicas, se les invitó a instalar controladores de video falsos al pegar un pedido en su terminal, que descarga y lanza silenciosamente la rata según Python.
La carga útil está oculta en un archivo zip que incluye el reconocido intérprete de Python (nvidia.py), un script de Visual Basic para desempaquetar el archivo y seis módulos básicos responsables de la persistencia, la imprenta digital del sistema, la transferencia de archivos, el acceso al shell remoto y el vuelo de los datos del navegador.
La rata dibuja la información de identificación de conexión, las cookies de sesión y los datos de cartera de más de 80 extensiones, incluidos Metamask, Phantom, Tronlink y 1Password.
El conjunto de comandos permite un control remoto completo de máquinas infectadas, incluidas descargas de archivos, descargas, el sistema de reacondicionamiento y el lanzamiento de un shell, todo enrutado a través de paquetes HTTP CRYS RC4.
Los paquetes RC4 cifrados HTTP son datos enviados en Internet que se borran utilizando un método de cifrado obsoleto llamado RC4. Incluso si la conexión en sí no es segura (HTTP), los datos interiores están encriptados, pero no muy bien, porque RC4 es obsoletos y se rompe fácilmente de acuerdo con los estándares actuales.
Aunque es una reescritura, la estructura y las convenciones de denominación de Pylangghost reflejan casi exactamente las de Golangghost, lo que sugiere que los dos probablemente fueron escritos por el mismo operador, dijo Cisco.
Leer más: Piratas de Corea del Norte dirigido a desarrolladores de criptografía con compañías shell estadounidenses