Корейские хакеры атакуют ведущие криптокомпании с помощью вредоносного ПО, скрытого в предложениях о работе

Хакерская группа из Северной Кореи использует вредоносное ПО на основе Python, замаскированное под часть фальшивого процесса трудоустройства, для атак на сотрудников криптоиндустрии, сообщили исследователи Cisco Talos на этой неделе.

Большинство жертв, согласно открытым данным, находятся в Индии и, по-видимому, имеют опыт работы в блокчейн-стартапах и криптовалютных компаниях.

Хотя Cisco не обнаружила доказательств внутреннего взлома, общий риск очевиден: эти атаки направлены на получение доступа к компаниям, в которые эти специалисты могут устроиться в будущем.

Вредоносная программа, названная PylangGhost, является новой версией ранее известного трояна GolangGhost и сохраняет большинство функций, но переписана на Python для более эффективной атаки на системы Windows.

Пользователи Mac по-прежнему подвержены атакам через версию на Golang, а системы Linux остаются незатронутыми. Группа Famous Chollima, стоящая за кампанией, активна с середины 2024 года и считается связанной с КНДР.

Их последний метод атаки прост: создание поддельных сайтов карьеры от имени таких компаний, как Coinbase, Robinhood и Uniswap, чтобы заманить разработчиков, маркетологов и дизайнеров на прохождение «тестов навыков».

После заполнения анкеты и ответов на вопросы жертве предлагают установить фальшивые видеодрайверы, введя команду в терминал, что незаметно загружает и запускает троян на Python.

Вредоносная нагрузка скрыта в ZIP-архиве, содержащем переименованный интерпретатор Python (nvidia.py), скрипт на Visual Basic для распаковки и шесть модулей, отвечающих за устойчивость, сбор данных, передачу файлов, удаленный доступ и кражу данных из браузеров.

Троян извлекает логины, куки-файлы и данные кошельков из более чем 80 расширений, включая MetaMask, Phantom, TronLink и 1Password.

Набор команд позволяет злоумышленникам полностью контролировать зараженные устройства: загружать и скачивать файлы, проводить разведку системы и запускать оболочку — все через RC4-шифрованные HTTP-пакеты.

RC4-шифрование устарело и легко взламывается по современным меркам, что делает защиту ненадежной, несмотря на шифрование данных.

Cisco отмечает, что структура и命名овые соглашения PylangGhost почти идентичны GolangGhost, что указывает на общего автора.

Перевод: F0rk