incrypted.com
- Злоумышленники из Северной Кореи запустили троян PylangGhost.
- Они используют фейковые сайты, в частности Coinbase и Uniswap, для заражения систем и кражи данных.
- Эта вредоносная программа подобна GolangGhost.
Хакерская группа Famous Chollima (также известная как Wagemole), связанная с Северной Кореей, активизировала атаки на специалистов в криптосфере, используя новую информационно-кражную программу PylangGhost. Об этом сообщило аналитическое подразделение Cisco Talos.
Согласно отчету, злоумышленники маскируются под работодателей, создавая фальшивые сайты криптобирж и фейковые вакансии, чтобы заманить жертв и украсть учетные данные с криптокошельков и менеджеров паролей.
Данная группировка уже неоднократно использовала социальную инженерию для инфицирования систем. На этот раз хакеры создали сайты, имитирующие Coinbase, Robinhood, Uniswap и другие компании, чтобы ввести жертв в заблуждение.
«Учитывая предложенные вакансии, очевидно, что Famous Chollima нацеливается на лиц с опытом в криптовалютах и блокчейн-технологиях», — отметили исследователи Cisco Talos.
Жертвам предлагают пройти онлайн-интервью: их просят посетить сайт для проверки навыков, ввести личные данные, ответить на вопросы, а затем — запустить подозрительную команду, которая якобы устанавливает драйвер для видеоинтервью. Именно в этот момент загружается вредоносный ZIP-файл, содержащий компоненты трояна PylangGhost, в частности программу nvidia.py.
Этот Python-троян – аналог уже известного GolangGhost, созданный для удаленного контроля над зараженными системами, похищения файлов, паролей, cookies, а также данных из более 80 браузерных расширений, включая Metamask, 1Password, NordPass, Phantom, TronLink, MultiverseX и другие.
По данным Cisco Talos, атаки ориентированы преимущественно на Индию, хотя глобальные риски остаются. Больше всего поражены пользователи Windows и MacOS, тогда как Linux-системы пока не подвергаются атакам.
Троян имеет модульную структуру из шести основных файлов, в частности:
- nvidia.py — запуск, связь с C2-сервером и автозапуск;
- config.py — список команд;
- command.py — обработка команд;
- auto.py — кража браузерных данных;
- api.py — коммуникация с сервером по RC4-шифрованию;
- util.py — сжатие и распаковка данных.
«Это не просто фишинг — это изощренная многоуровневая атака на криптосообщество с целью сбора ценных данных и длительного контроля над устройствами», — говорится в отчете экспертов.
Сценарий, по которому действует Famous Chollima, включает две основные тактики:
- выдавать себя за работодателей и собирать данные с реальных соискателей;
- внедрять подставных работников в компании-жертвы.
Это не первый случай: в апреле 2025 года хакеры, связанные с кражей $1,46 млрд у Bybit, использовали похожие фейковые тесты для разработчиков.
«Эти атаки демонстрируют, как киберпреступность все теснее интегрируется с элементами шпионажа и экономического саботажа», — предупреждают эксперты по безопасности.
Ранее мы писали о злоумышленниках из КНДР, которые, выдавая себя за IT-специалистов с удаленной работой, нацелились на компании в Германии, Португалии, Великобритании и других странах Европы.