Cisco Talos: Nova ameaça norte-coreana ’PylangGhost’ visa profissionais de criptomoedas através de sites de emprego falsos

A organização de inteligência contra ameaças da Cisco, a Cisco Talos, detectou um novo malware baseado em Python chamado 'PylangGhost'. Ele está vinculado ao grupo de hackers norte-coreano Famous Chollima.

De acordo com um recente blog post da Cisco Talos, o PylangGhost é usado exclusivamente por agentes de ameaças cibernéticas associados à Coreia do Norte para infiltrar hardwares de candidatos a empregos no setor de criptomoedas.

O PylangGhost é um novo tipo de cavalo de Troia (RAT) baseado em Python que funciona de forma semelhante ao GolangGhost RAT, documentado anteriormente e descoberto pela Cisco Talos em dezembro de 2024.

Mais recentemente, a empresa de cibersegurança descobriu que ele tem sido ativamente usado pelo grupo de hackers Famous Chollima para infiltrar sistemas Windows, enquanto continua a implantar uma versão baseada em Golang para usuários de MacOS. Até agora, dados de código aberto indicam que a maioria das vítimas afetadas pelo malware está na Índia.

O Famous Chollima também é apelidado de 'Wagemole' devido às suas tentativas repetidas de roubar senhas, infiltrar-se em carteiras de criptomoedas dos usuários e capturar outras informações sensíveis por meio de vagas de emprego falsas online.

Como os hackers norte-coreanos capturam suas vítimas?

Segundo o relatório, o grupo atrai suas vítimas por meio de campanhas falsas de entrevistas de emprego usando engenharia social. Os atacantes criam sites de emprego falsos que se passam por grandes empresas de criptomoedas, incluindo Coinbase, Robinhood e Uniswap, entre outras.

As vítimas são então levadas a participar de várias etapas, iniciadas por recrutadores falsos. Em seguida, são convidadas a abrir sites fraudulentos de teste de habilidades, onde suas informações pessoais são coletadas.

Durante o preparo para a entrevista falsa, o usuário é enganado para permitir que o site acesse sua câmera e microfone. Nessa fase, o recrutador falso pede que copiem e executem comandos maliciosos sob o pretexto de instalar drivers de vídeo atualizados.

Após a execução do comando, o malware consegue infiltrar-se no dispositivo. O comando permite o controle remoto do dispositivo infectado e concede aos atacantes acesso a cookies e credenciais de mais de 80 extensões de navegador.

Isso inclui acesso a gerenciadores de senhas e carteiras de criptomoedas, como MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink e MultiverseX.

Como relatado anteriormente em abril, outro grupo de hackers norte-coreano, o Lazarus Group, também usou métodos semelhantes para atrair usuários. Os atacantes implantavam candidaturas de emprego falsas com pelo menos três variantes de malware detectadas, vinculadas a operações cibernéticas norte-coreanas.

Traduzido por CardanoCrusader