Cisco Talos: Новый северокорейский угрозный актор ’PylangGhost’ атакует работников криптоиндустрии через фейковые сайты с вакансиями

Угрозный аналитический центр Cisco Talos обнаружил новый вредоносный код на Python под названием 'PylangGhost'. Он связан с северокорейской хакерской группировкой Famous Chollima.

Согласно последнему сообщению в блоге Cisco Talos, PylangGhost используется исключительно киберпреступниками, связанными с Северной Кореей, для проникновения в устройства соискателей, ищущих работу в криптоиндустрии.

PylangGhost — это новый троян удаленного доступа на Python, работающий аналогично ранее документированному GolangGhost RAT, обнаруженному Cisco Talos в декабре 2024 года.

Недавно кибербезопасная компания выяснила, что хакерская группировка Famous Chollima активно использует его для атак на системы Windows, продолжая применять версию на Golang для пользователей MacOS. Согласно открытым данным, большинство жертв этого вредоносного ПО находятся в Индии.

Famous Chollima также известна как 'Wagemole' из-за постоянных попыток кражи паролей, взлома криптокошельков пользователей и хищения другой конфиденциальной информации через фейковые вакансии в интернете.

Как северокорейские хакеры находят своих жертв?

Согласно отчету, хакерская группировка заманивает жертв через фейковые кампании по найму с использованием методов социальной инженерии. Злоумышленники создают поддельные сайты вакансий, имитирующие известные криптокомпании, включая Coinbase, Robinhood и Uniswap.

Жертвам предлагается пройти несколько этапов, организованных фейковыми рекрутерами. Затем их приглашают открыть мошеннические сайты для проверки навыков, где собирается их личная информация.

При подготовке к фейковому собеседованию пользователя обманом заставляют разрешить сайту доступ к камере и микрофону. На этом этапе фейковый рекрутер просит скопировать и выполнить вредоносные команды под предлогом установки обновленных видеодрайверов.

После выполнения команды вредоносное ПО проникает на устройство. Команда дает злоумышленникам удаленный контроль над зараженным устройством и доступ к кукам и учетным данным из более чем 80 браузерных расширений.

Среди них — доступ к менеджерам паролей и криптокошелькам, включая MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink и MultiverseX.

Как сообщалось ранее в апреле, другая северокорейская хакерская группировка, Lazarus Group, также использовала схожие методы для привлечения жертв. Злоумышленники распространяли фейковые вакансии с как минимум тремя видами вредоносного ПО, связанного с северокорейскими кибероперациями.

Перевод: EtherWulf