Ingéniosité malveillante. Le groupe de hackers nord-coréens Lazarus est impliqué dans de nombreux hacks d’envergure tels que celui de Ronin en 2022 et plus récemment celui de Bybit en février. Cependant, ce n’est pas le seul groupe actif dans le domaine de la cryptomonnaie, un autre collectif nommé Famous Chollima est également en pleine action. Les experts en cybersécurité de Cisco Talos rapportent que ce groupe a développé un nouveau malware pour cibler les chercheurs d’emploi dans le secteur crypto, leur volant ainsi leurs mots de passe et données sensibles. Voici les détails.
- Le groupe de hackers Famous Chollima a conçu un nouveau malware pour cibler les chercheurs d’emploi dans le domaine de la cryptomonnaie.
- Ce malware, désigné sous le nom de PylangGhost, permet de dérober des mots de passe et des données critiques en exploitant des campagnes d’entretiens frauduleux.
Famous Chollima cible les chercheurs d’emploi dans la crypto
Les chercheurs de Cisco Talos ont découvert un nouveau cheval de Troie basé sur Python qu’ils ont baptisé PylangGhost. Ce malware est utilisé par le groupe de hackers Famous Chollima, également connu sous le nom de Wagemole. Son principal objectif est de cibler les chercheurs d’emploi et les professionnels du secteur de la blockchain, surtout en Inde, à travers de fausses campagnes d’entretien d’embauche basées sur l’ingénierie sociale.
Les hackers mettent en place des sites d’emploi frauduleux imitant des entreprises légitimes comme Coinbase, Robinhood et Uniswap, et guident les victimes à travers un processus en plusieurs étapes. Ce processus inclut un premier contact via de faux recruteurs qui envoient des invitations à des tests de compétences au cours desquels les informations sont collectées.
Le malware PylangGhost vole les mots de passe des portefeuilles
De plus, les victimes sont poussées à activer l’accès à la vidéo et à la caméra durant ces entretiens frauduleux, ce qui les amène à copier et exécuter des commandes malveillantes qui compromettent la sécurité de leur appareil.
PylangGhost est une variante du RAT GolangGhost auparavant documenté, partageant des fonctionnalités similaires. Une fois exécuté, ce malware permet de contrôler à distance le système infecté et de dérober des cookies et des identifiants de plus de 80 extensions de navigateur, y compris des gestionnaires de mots de passe et des wallets crypto comme MetaMask, 1Password, et d’autres.
Le malware a également la capacité d’effectuer divers tâches et exécute de nombreuses commandes, telles que prendre des captures d’écran, gérer des fichiers, voler des données de navigation, collecter des informations système et maintenir un accès à distance aux systèmes infectés. Les chercheurs ont également noté qu’il semble peu probable que les acteurs de cette menace aient utilisé un modèle de langage artificiel (IA) pour écrire le code.
Ce n’est pas la première fois que des hackers nord-coréens exploitent de fausses annonces d’emplois et des entretiens pour piéger leurs victimes. En avril dernier, des pirates associés au vol de 1,4 milliard de dollars sur Bybit ciblaient des développeurs de cryptomonnaie par le biais de tests de recrutement infectés de logiciels malveillants. Les pirates sont présents sur toutes les plateformes et nul endroit n’est véritablement sécurisé.
