سيسكو تالوس: تهديد جديد من كوريا الشمالية يُدعى ’PylangGhost’ يستهدف عمال العملات الرقمية عبر مواقع وظائف مزيفة

كشفت منظمة الاستخبارات الأمنية التابعة لشركة سيسكو، سيسكو تالوس، عن برنامج ضار جديد يعتمد على لغة بايثون يُسمى 'PylangGhost'. ويرتبط هذا البرنامج بمجموعة القرصنة الكورية الشمالية المعروفة باسم 'فاموس تشوليم'.

ووفقًا لمنشور حديث على مدونة سيسكو تالوس، فإن 'PylangGhost' يستخدم حصريًا من قبل جهات التهديد الإلكترونية التابعة لكوريا الشمالية لاختراق أجهزة الباحثين عن وظائف في مجال صناعة العملات الرقمية.

يُعتبر 'PylangGhost' نوعًا جديدًا من أحصنة طروادة التي تعمل عن بُعد والمبنية على لغة بايثون، حيث يعمل بطريقة مشابهة لبرنامج 'GolangGhost RAT' الذي تم اكتشافه من قبل سيسكو تالوس في ديسمبر 2024.

وجدت الشركة مؤخرًا أن مجموعة القرصنة المعروفة باسم 'فاموس تشوليم' تستخدمه بنشاط لاختراق أنظمة ويندوز، بينما تواصل نشر نسخة مبينة على لغة جولانج لمستخدمي ماك أو إس. حتى الآن، تشير البيانات المفتوحة المصدر إلى أن معظم الضحايا المتأثرين بهذا البرنامج الضار مقيمون في الهند.

تُعرف مجموعة 'فاموس تشوليم' أيضًا باسم 'Wagemole' بسبب محاولاتها المتكررة لسرقة كلمات المرور واختراق محافظ العملات الرقمية للمستخدمين، بالإضافة إلى سرقة معلومات حساسة أخرى عبر عروض وظائف مزيفة على الإنترنت.

كيف يوقع القراصنة الكوريون الشماليون ضحاياهم؟

وفقًا للتقرير، تجذب مجموعة القراصنة ضحاياها عبر حملات مقابلات وظيفية مزيفة باستخدام الهندسة الاجتماعية. ينشئ المهاجمون مواقع وظائف مزيفة تحاكي شركات عملات رقمية كبرى، بما في ذلك كوينبيز، روبن هود، ويونيسواب وغيرها.

يُطلب من الضحايا بعد ذلك المشاركة في خطوات متعددة، يبدأها مجندون مزيفون. ثم يتم دعوتهم لفتح مواقع اختبار مهارات احتيالية حيث يتم جمع معلوماتهم الشخصية.

عند التحضير للمقابلة المزيفة، يتم خداع المستخدم لتمكين الإذن للموقع بالوصول إلى كاميرته وميكروفونه. خلال هذه المرحلة، سيطلب المجند المزيف منهم نسخ وتنفيذ أوامر ضارة تحت ذريعة تثبيت تحديثات لبرامج تشغيل الفيديو.

عند تنفيذ الأمر، يتمكن البرنامج الضار من اختراق جهازهم. يُمكن هذا الأمر من التحكم عن بُعد في الجهاز المصاب ويُمنح المهاجمين الوصول إلى ملفات تعريف الارتباط والمعلومات الاعتمانية من أكثر من 80 ملحق متصفح.

يشمل ذلك الوصول إلى مديري كلمات المرور ومحافظ العملات الرقمية، بما في ذلك ميتاماسك، 1 باسوورد، نورد باس، فانتوم، بيتسكي، إينيتيا، ترون لينك، ومولتيفيرس إكس.

كما ذكرت تقارير سابقة في أبريل، استخدمت مجموعة لازاروس الكورية الشمالية أيضًا طرقًا مماثلة لجذب المستخدمين. حيث قام المهاجمون بنشر طلبات وظائف مزيفة مع ثلاثة أنواع على الأقل من البرامج الضارة المرتبطة بالعمليات الإلكترونية الكورية الشمالية.

ترجمة: BullR1d3r