Foto: F8 studio/Shutterstock
Nordkoreanische Hacker haben eine neue Taktik gefunden, um in Kryptounternehmen einzudringen. Sie versenden gefälschte Bewerbungen mit versteckter Malware, die in Lebensläufen und Interview-Software verborgen ist. Auf den ersten Blick wirkt alles normal, aber im Hintergrund werden Systeme infiltriert und sensible Daten erbeutet.
Clevere Bewerbungen mit bösartigen Anhängen
Die Hackergruppe, bekannt als Famous Chollima, gibt sich als Bewerber bei bekannten Unternehmen wie Coinbase, Robinhood und Uniswap aus. Sie erstellen überzeugende Fake-Websites, komplett mit Stellenausschreibungen und Bewerbungsformularen.
Bewerber müssen technische Fragen beantworten und erhalten anschließend eine Einladung zu einem Video-Interview. Dabei wird darum gebeten, „neue Videotreiber“ zu installieren, die angeblich für die Aufnahmequalität benötigt werden. In Wirklichkeit installieren sie damit PylangGhost: eine fortschrittliche Malware mit vollständigem Systemzugriff.
Einmal aktiv sammelt die Malware automatisch Anmeldedaten und Cookies von beliebten Browser-Erweiterungen wie MetaMask, Phantom und TronLink. Auch werden Screenshots, Systeminformationen und Dokumente im Hintergrund über verschlüsselten Internetverkehr weitergeleitet. Dadurch bleiben die Angriffe lange unbemerkt.
Gezielt auf Kryptounternehmen weltweit
Die Kampagne richtet sich hauptsächlich an Fachkräfte im Blockchain- und Kryptosektor, mit einem klaren Fokus auf Indien.
Nicht nur Entwickler sind Zielscheibe, sondern auch Marketer und Designer. Das macht den Ansatz breit einsetzbar. Praktisch jedes Unternehmen, das mit Kryptowährungen arbeitet, kann Opfer werden.
Diese Methode passt in das breitere Muster von Lazarus, der nordkoreanischen Hackergruppe, die zuvor Hunderte Millionen an Krypto erbeuten konnte. Seit kurzem ist die Hackergruppe weltweit berüchtigt durch den Coinbase-Hack früher in diesem Jahr.
Großes Risiko für interne Systeme
Was diese Angriffe so gefährlich macht, ist wie glaubwürdig sie wirken. HR-Mitarbeiter öffnen die Dateien oft ohne Argwohn. Die Infektion geschieht heimlich: Arbeitgeber merken oft erst Wochen später, dass sie infiziert sind. Zu diesem Zeitpunkt haben Hacker oft bereits Zugang zu internen Codebasen, Kundendaten und Krypto-Wallets.
Laut Sicherheitsexperten sind Bewusstsein und Prävention der Schlüssel. Unternehmen tun gut daran, Dateien vorab in einer sicheren Umgebung zu öffnen. Auch ist es ratsam, Personal im Erkennen von Betrug zu schulen und verdächtige Aktivitäten aktiv zu überwachen.
Mit diesen Angriffen zeigen nordkoreanische Hacker, dass sie immer kreativer werden. Der Bewerbungsprozess, normalerweise ein Standardverfahren, erweist sich als Schwachstelle. Nur mit technischer Sicherheit und aufmerksamem Personal können sich Kryptounternehmen gegen solche cleveren und schwer zu erkennenden Angriffe wehren.
Große Akteure setzen nun mehr denn je auf Sicherheit, so auch die amerikanische Kryptobörse Kraken. Sie verwenden fortschrittliche Techniken und geben Nutzern regelmäßig Sicherheitstipps.
In diesem Artikel liest du, wie du die häufigsten Scams erkennst und welche Vorsichtsmaßnahmen du treffen musst.
