Группа злоумышленников, связанная с Северной Кореей, атакует соискателей в криптоиндустрии с помощью новой вредоносной программы, предназначенной для кражи паролей от криптокошельков и менеджеров паролей.
Cisco Talos сообщила в среду об обнаружении нового удаленного трояна (RAT) на основе Python, который они назвали “PylangGhost”, и связала эту вредоносную программу с северокорейской хакерской группировкой “Famous Chollima”, также известной как “Wagemole”.
Хакерская группа нацелена на соискателей и сотрудников, имеющих опыт работы с криптовалютами и блокчейном, преимущественно в Индии, используя фиктивные кампании по трудоустройству и методы социальной инженерии.
“Судя по предлагаемым вакансиям, очевидно, что Famous Chollima в основном нацелена на людей с опытом работы в области криптовалют и блокчейн-технологий.”
Фиктивные сайты вакансий и тесты как прикрытие для вредоносной программы
Злоумышленники создают поддельные сайты вакансий, имитирующие законные компании, такие как Coinbase, Robinhood и Uniswap, и направляют жертв через многоэтапный процесс.
Это включает в себя первоначальный контакт с поддельными рекрутерами, которые отправляют приглашения на сайты для прохождения навыковых тестов, где происходит сбор информации.
Затем жертв заманивают на включение доступа к видео- и веб-камере для проведения фиктивных собеседований, в ходе которых их обманом заставляют копировать и выполнять вредоносные команды под предлогом установки обновленных драйверов видео, что приводит к компрометации их устройства.
Полезная нагрузка нацелена на криптокошельки
PylangGhost является вариантом ранее задокументированного RAT GolangGhost и обладает аналогичной функциональностью, сообщила Cisco Talos.
При запуске команды обеспечивают удаленное управление скомпрометированной системой и кражу файлов cookie и учетных данных из более чем 80 расширений браузера, о чем также сообщается.
К ним относятся менеджеры паролей и криптокошельки, включая MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink и MultiverseX.
Многозадачная вредоносная программа
Вредоносное ПО может выполнять другие задачи и выполнять многочисленные команды, включая создание скриншотов, управление файлами, кражу данных браузера, сбор системной информации и поддержание удаленного доступа к скомпрометированным системам.
Исследователи также отметили, что маловероятно, что злоумышленники использовали большую языковую модель искусственного интеллекта для помощи в написании кода, основываясь на комментариях, сделанных внутри него.
Фиктивные предложения работы — не новость
Это не первый случай, когда хакеры, связанные с Северной Кореей, использовали фиктивные вакансии и собеседования, чтобы заманить свои жертвы.
В апреле хакеры, связанные с кражей $1,4 миллиарда с Bybit, нацеливались на разработчиков криптовалют, используя зараженные вредоносным ПО тесты для прохождения отбора.
