Северокорейские хакеры нацелены на соискателей в криптоиндустрии
Северокорейские хакеры нацелились на соискателей в области криптоиндустрии с новым вредоносным программным обеспечением, предназначенным для кражи паролей от криптокошельков и менеджеров паролей. Cisco Talos сообщила о новом трояне удаленного доступа (RAT) на основе Python, названном PylangGhost. Этот вредонос связывают с хакерской группой, аффилированной с Северной Кореей, известной как Famous Chollima (также имеющей название Wagemole). Хакеры целенаправленно атаковали соискателей и сотрудников с опытом работы в криптовалюте и блокчейне, в первую очередь в Индии, используя фейковые кампании по найму и социальные манипуляции.
«Судя по размещенным вакансиям, очевидно, что Famous Chollima целенаправленно стремится привлечь людей с опытом работы в области криптовалют и блокчейна», — отмечают эксперты.
Фейковые сайты вакансий и прикрытие для вредоносного ПО
Злоумышленники создают поддельные сайты вакансий, выдавая себя за легитимные компании, такие как Coinbase, Robinhood и Uniswap. Жертвы проходят многоступенчатый процесс, начиная с контакта с фальшивыми рекрутерами, которые отправляют приглашения на сайты для проверки навыков и сбора информации. Затем жертвы вынуждены разрешить доступ к видео и камере для фальшивых собеседований, во время которых они обманываются на выполнение вредоносных команд под предлогом обновления драйверов видео, что приводит к компрометации их устройств.
Полезная нагрузка нацеливается на криптокошельки
PylangGhost является вариантом ранее задокументированного GolangGhost RAT и обладает схожими функциональными возможностями. При выполнении команд это ПО позволяет удаленно управлять зараженной системой и красть данные куков и учетные данные более чем из 80 различных расширений браузера, среди которых менеджеры паролей и криптокошельки, включая MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink и MultiverseX.
Многофункциональное вредоносное ПО
Кроме кражи данных, вредоносное ПО имеет возможность выполнять множество задач, таких как:
- создание скриншотов,
- управление файлами,
- сбор данных о браузере и информации о системе,
- поддержание удаленного доступа к зараженным устройствам.
Исследователи также заметили, что, скорее всего, злоумышленники не использовали крупную языковую модель искусственного интеллекта для написания кода, основываясь на комментариях, содержащихся в нем.
Фальшивые собеседования не новы
Это не первый случай, когда хакеры, связанные с Северной Кореей, используют фальшивые вакансии и собеседования для заманивания жертв. В апреле хакеры, причастные к ограблению на сумму 1.4 миллиарда долларов в Bybit, также нацеливались на разработчиков криптовалют, используя фальшивые тесты на найм с вредоносным ПО.
