Cisco Talos’un yeni araştırmasına göre, yeni bir siber saldırı serisi, kripto ve blockchain endüstrilerindeki profesyonelleri sahte işe alım dolandırıcılığı kullanarak hedefliyor. Ünlü Chollima olarak bilinen Kuzey Kore uyumlu bir gruba bağlı saldırganlar, meşru şirketleri kurbanları video sürücüleri olarak gizlenmiş kötü amaçlı yazılımları kurmaya kandırmaları için taklit ediyor.
Grup, daha önce sahte geliştirici iş ilanları ve hileli görüşme süreçleri gibi taktiklerle bilinen en azından 2024’ten beri aktif. Bu son gelişme, daha önce tanımlanmış Golangghost Truva atının bir çeşidi olan Pylangghost adlı yeni bir Python tabanlı kötü amaçlı yazılımla gelişen operasyonun geliştiğini gösteriyor.
Gerçek iş arayanlar, sahte şirketler
Mağdurlara, kripto sektöründe gibi görünen şirketlerde pozisyonlar sunan sahte işe alım görevlileri tarafından yaklaşılıyor. Hedefler genellikle kripto para birimi deneyimine sahip yazılım geliştiricileri, pazarlamacılar ve tasarımcılardır.
Temas yapıldıktan sonra, kurban, Coinbase, Robinhood, Uniswap ve diğerleri gibi tanınmış isimler de dahil olmak üzere gerçek bir şirkete ait gibi görünecek şekilde tasarlanmış sahte bir beceri değerlendirme sayfasına yönlendirilir.
Bu sayfalar React çerçevesini kullanıyor ve gerçek kurumsal arayüzleri yakından taklit ediyor. Kişisel bilgileri doldurduktan ve testi tamamladıktan sonra, başvuru sahiplerine işe alım ekibi için bir video giriş kaydetmeleri gerektiği söylenir. Bunu yapmak için, komutları terminallerine kopyalayıp yapıştırarak “video sürücüleri” yüklemeleri istenir.
Bu adım kötü amaçlı yazılımları indirir.
Kötü Yazılım Nasıl Çalışır
CICSO Talos’un blog yayınına göre, kurban bir Windows veya MacOS sistemindeki talimatları izlerse, kötü amaçlı bir fermuar dosyası aşağı çekilir. Python tabanlı Pylangghost Truva atı ve ilgili senaryoları içerir. Kötü amaçlı yazılım daha sonra kendini açar, arka planda çalışır ve saldırganlara mağdurun makinesine uzaktan erişim sağlar.
Python versiyonu, Go tabanlı muadiliyle neredeyse aynı işlev görür. Sistem her başladığında, sistem bilgilerini topladığında ve bir komut ve kontrol sunucusuna bağlandığında kendini yükler. Etkin olduktan sonra, parolalar ve kripto cüzdan anahtarları dahil olmak üzere uzak komutları, hasat kimlik bilgilerini ve tarayıcı verilerini çalabilir ve yürütebilir.
Talos’a göre, yaygın olarak kullanılan şifre yöneticileri ve Metamask, 1Password, Nordpass ve Phantom gibi dijital cüzdanlar da dahil olmak üzere 80’den fazla farklı tarayıcı uzantısını hedefliyor.
Kötü amaçlı yazılım, sunucusu ile iletişim için RC4 şifrelemesini kullanır. Veri akışı şifrelenmiş olsa da, şifreleme tuşu verilerle birlikte gönderilir ve bu yöntemin güvenliğini sınırlar. Yine de, kurulum düzenli trafikle karışmasına yardımcı olur ve algılamayı zorlaştırır.
Bu operasyonun amacı iki yönlüdür. İlk olarak, saldırganların gerçek iş arayanlardan hassas kişisel veriler toplamasına izin verir. İkincisi, sahte çalışanların gerçek şirketlerin içine yerleştirilmesi için kapıyı açar, bu da uzun vadeli sızmaya ve değerli finansal verilere veya yazılım altyapısına erişime yol açabilir.
Şimdiye kadar sadece az sayıda kurban, çoğunlukla Hindistan’da onaylandı. Linux kullanıcıları bu özel kampanyada etkilenmez. Hiçbir Cisco müşterisi şu anda etkilenmemiş gibi görünmüyor.
Talos, kötü amaçlı yazılımların gelişiminin AI kodu üretimini içermediğini ve hem Python hem de Go sürümlerinin yapısının her ikisini de oluşturduğunu gösterdiğini belirtiyor.
Güvende kalmak
Kripto veya teknolojideki rollere başvuruyorsanız, bir röportajın bir parçası olarak yazılım yüklemenizi veya terminal komutlarını çalıştırmanızı isteyen iş listelerine dikkat edin. Meşru şirketler bunu gerektirmeyecektir.
Siber güvenlik ekipleri, özellikle uzaktan kiralar için çalışan işe alım süreçlerini gözden geçirmeli ve bu tür sosyal mühendislik saldırıları hakkında personeli eğitmelidir. Beklenmedik giden bağlantılar veya garip fermuar indirmeleri için izleme, erken uzlaşma belirtilerinin yakalanmasına da yardımcı olabilir.