Северокорейские хакеры манипулируют соискателями в криптоиндустрии через фиктивные интервью с новым вирусом PylangGhost

Северокорейская киберпреступная группировка Famous Chollima разработала новый троян под названием PylangGhost. Это malware распространяется через фальшивые собеседования для специалистов в области криптовалют, как сообщают аналитики из Cisco Talos.

Злоумышленники создают поддельные вебсайты, маскируясь под известные компании, такие как Coinbase, Robinhood и Uniswap.

Рекрутеры направляют к этим сайтам соискателей для прохождения тестов. Затем кандидатам предлагается включить камеру для видеоинтервью, что требует ввода команды в консоли, которая якобы устанавливает видеодрайвер. На самом деле эта команда загружает вредоносный код.

PylangGhost представляет собой троян удалённого доступа (RAT), написанный на Python и нацеленный на операционные системы Windows. Он является аналогом ранее известного вируса GolangGhost, который распространялся для macOS, при этом системы на базе Linux не подвергаются атаке.

После активации вирус предоставляет хакерам полный доступ к заражённому устройству. Он способен похищать файлы cookie и учетные данные более чем из 80 браузерных расширений. Основными целями являются менеджеры паролей, такие как 1Password и NordPass, а также криптокошельки, включая MetaMask, Phantom, Bitski и TronLink.

Эта угроза даёт злоумышленникам постоянный удалённый доступ к системе.

Исследователи отметили, что, скорее всего, хакеры не использовали продвинутые языковые модели для разработки кода вируса.

Основные жертвы этих атак — специалисты из Индии. Эксперты подчеркивают, что это часть более глобальной стратегии Северной Кореи. Группировка не только ворует средства с криптобирж, но и стремится внедрить своих агентов в криптокомпании для сбора информации.

Директор Digital South Trust Дилип Кумар заявил Decrypt, что для предотвращения подобных инцидентов «Индия должна ввести обязательные проверки кибербезопасности для блокчейн-компаний и контролировать фальшивые сайты для поиска работы».

«CERT-In должна публиковать красные предупреждения, а MEITY и NCIIPC — улучшить международное сотрудничество в борьбе с транснациональной киберпреступностью», — отметил он.

Кумар также подчеркивает необходимость «усиления правовых норм» в рамках Закона об информационных технологиях и проведения «кампаний по повышению цифровой грамотности».

Напоминаем, что в апреле эксперты Silent Push передали, что группа Contagious Interview, связанная с Lazarus, зарегистрировала три фиктивные компании для распространения вредоносного ПО. Эти фирмы используются для обмана пользователей через фальшивые собеседования.