Северокорейские хакеры рассылают вирус через вакансии в криптосфере

В мае обнаружен троян удаленного доступа (RAT) на основе Python, который назвали PylangGhost. Вредоносное ПО распространяют хакеры КНДР Famous Chollima из-за предложения труда в криптовалютной сфере.

Вирус на базе Python нацелен на пользователей Windows, а Golang-версия — на пользователей MacOS. Пока пострадали лишь несколько человек, в основном в Индии.

С середины 2024 года северокорейские хакеры Famous Chollima (также известные как Wagemole) активно распространяли различные варианты вируса Contagious Interview (также известного как DeceptiveDevelopment) и создавали фальшивые объявления о работе и страницы тестирования. В последнем случае пользователям предлагалось скопировать и вставить (ClickFix) вредоносную команду командной строки для установки драйверов, необходимых для проведения финального этапа тестирования навыков.

В конце прошлого года исследователи задокументировали троян удаленного доступа (RAT) под названием GolangGhost в формате исходного кода. В прошлом году киберпреступники начали разворачивать функциональный эквивалентный вариант трояна GolangGhost на Python, который и получил название PylangGhost.

Фишинговые сайты для проведения рекрутинга вводят пользователей в заблуждение для заражения PylangGhost: во-первых, создавая фальшивых работодателей с целью получения личной информации соискателей работы, и во-вторых, размещая фальшивых сотрудников в качестве работников в целевых компаниях-жертвах.

Жертвами выбирают опытных блокчейн-разработчиков и специалистов криптосферы, заманивая позициями в таких известных компаниях, как Coinbase, Archblock, Robinhood, Parallel Studios, Uniswap и других. Каждая мишень получает код приглашения для посещения тестового веб-сайта, где, в зависимости от должности, им предлагается ввести свои данные и ответить на несколько вопросов для проверки их опыта и навыков. Сайты созданы с помощью фреймворка React и имеют очень похожий визуальный дизайн, независимо от типа должности.

После того, как пользователь ответит на все вопросы и предоставит личные данные, сайт показывает приглашение записать видео для интервьюера, рекомендуя пользователю разрешить доступ к камере, нажав кнопку. Наконец, когда пользователь предоставляет доступ к камере, сайт просит скопировать, вставить и выполнить команду для якобы установки необходимых видеодрайверов. После загрузки и инсталляции и начинается проникновение вируса в систему.

После хакеры получают возможность удаленно контролировать зараженную систему и воровать cookies и учетные данные из более 80 расширений браузера, включая менеджеры паролей и криптовалютные кошельки: Metamask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink и MultiverseX.

Источник: Cisco Talos