Северокорейские хакеры используют вредоносное ПО PylangGhost для мошенничества с поддельными крипто-работами

Новая серия кибератак нацелена на профессионалов в крипто- и блокчейн-индустрии с использованием мошеннических схем по подбору персонала, согласно новому исследованию Cisco Talos. Злоумышленники, связанные с северокорейской группой, известной как Famous Chollima , выдают себя за настоящие компании, чтобы обманом заставить жертв установить вредоносное ПО, замаскированное под видеодрайверы.

Группа активна по крайней мере с середины 2024 года, ранее была известна такими тактиками, как поддельные объявления о вакансиях разработчиков и мошеннические процессы собеседований. Это последнее развитие событий показывает, что операция становится все более изощренной, теперь с новым вредоносным ПО на основе Python под названием PylangGhost, вариантом ранее идентифицированного трояна GolangGhost.

К жертвам обращаются фальшивые рекрутеры, предлагающие должности в компаниях, которые, по всей видимости, работают в секторе криптовалют. Целями часто становятся разработчики программного обеспечения, маркетологи и дизайнеры с опытом работы в сфере криптовалют.

После установления контакта жертва перенаправляется на поддельную страницу оценки навыков, которая выглядит так, будто принадлежит реальной компании, в том числе таким известным именам, как Coinbase, Robinhood, Uniswap и другим.

Эти страницы используют фреймворк React и точно имитируют реальные корпоративные интерфейсы. После заполнения личной информации и завершения теста кандидатам говорят, что они должны записать видеопрезентацию для команды по найму. Для этого их просят установить «видеодрайверы», скопировав и вставив команды в свой терминал.

На этом этапе загружается вредоносное ПО.

Согласно сообщению в блоге Cicso Talos, если жертва следует инструкциям в системе Windows или MacOS, извлекается вредоносный ZIP-файл. Он содержит троян PylangGhost на основе Python и связанные скрипты. Затем вредоносная программа распаковывается, работает в фоновом режиме и предоставляет злоумышленникам удаленный доступ к машине жертвы.

Версия Python функционирует почти идентично своему аналогу на основе Go. Она устанавливается для запуска при каждом запуске системы, собирает системную информацию и подключается к серверу управления и контроля. После активации она может получать и выполнять удаленные команды, собирать учетные данные и красть данные браузера, включая пароли и ключи криптокошелька .

По данным Talos, атака нацелена на более чем 80 различных расширений браузеров, включая широко используемые менеджеры паролей и цифровые кошельки, такие как MetaMask, 1Password, NordPass и Phantom.

Вредоносная программа использует шифрование RC4 для связи со своим сервером. Хотя поток данных зашифрован, ключ шифрования отправляется вместе с данными, что ограничивает безопасность этого метода. Тем не менее, настройка помогает ему слиться с обычным трафиком и затрудняет обнаружение.

Цель этой операции двоякая. Во-первых, она позволяет злоумышленникам собирать конфиденциальные персональные данные реальных соискателей. Во-вторых, она открывает дверь для размещения поддельных сотрудников в реальных компаниях, что может привести к долгосрочному проникновению и доступу к ценным финансовым данным или программной инфраструктуре.

Пока подтверждено лишь небольшое количество жертв, в основном в Индии. Пользователи Linux не затронуты этой конкретной кампанией. На данный момент, похоже, ни один из клиентов Cisco не пострадал.

Talos отмечает, что разработка вредоносного ПО, по всей видимости, не подразумевает генерацию кода ИИ, а структура версий Python и Go позволяет предположить, что обе были созданы одними и теми же разработчиками.

Если вы претендуете на должности в сфере криптовалют или технологий, будьте осторожны с объявлениями о вакансиях, в которых вас просят установить программное обеспечение или запустить команды терминала в рамках собеседования. Легальные компании не будут этого требовать.

Команды по кибербезопасности должны пересмотреть процессы адаптации сотрудников , особенно для удаленных сотрудников, и информировать персонал об этих типах атак социальной инженерии. Мониторинг неожиданных исходящих соединений или странных загрузок ZIP также может помочь обнаружить ранние признаки компрометации.