Північнокорейські хакери розсилають вірус через вакансії у криптосфері

У травні виявлено троян віддаленого доступу (RAT) на основі Python, який назвали PylangGhost. Шкідливе ПЗ поширюють хакери КНДР Famous Chollima через пропозиції праці у криптовалютній сфері.

Вірус на базі Python націлений на користувачів Windows, а Golang-версія — на користувачів MacOS. Наразі постраждали лише кілька людей, в основному в Індії.

З середини 2024 року північнокорейські хакери Famous Chollima (також відомі як Wagemole) активно поширювали різні варіанти вірусу Contagious Interview (також відомого як DeceptiveDevelopment) та створювали фальшиві оголошення про роботу і сторінки тестування. В останньому випадку користувачам пропонувалось скопіювати та вставити (ClickFix) шкідливу команду командного рядка для встановлення драйверів, необхідних для проведення фінального етапу тестування навичок.

Наприкінці минулого року дослідники задокументували троян віддаленого доступу (RAT) під назвою GolangGhost у форматі вихідного коду. Минулого року кіберзлочинці почали розгортати функціональний еквівалентний варіант трояна GolangGhost на Python, який й отримав назву PylangGhost.

Фішингові сайти для проведення рекрутингу вводять користувачів в оману для зараження PylangGhost: по-перше, створюючи фальшивих роботодавців з метою отримання особистої інформації шукачів роботи, і по-друге, розміщуючи фальшивих співробітників як працівників у цільових компаніях-жертвах.

Жертвами обирають досвідчених блокчейн-розробників та спеціалістів криптосфери, заманюючи позиціями у таких відомих компаніях, як Coinbase, Archblock, Robinhood, Parallel Studios, Uniswap та інших. Кожна мішень отримує код запрошення для відвідування тестового вебсайту, де, залежно від посади, їм пропонується ввести свої дані та відповісти на кілька питань для перевірки їхнього досвіду та навичок. Сайти створені за допомогою фреймворку React і мають дуже схожий візуальний дизайн, незалежно від типу посади.

Після того, як користувач відповість на всі питання та надасть особисті дані, сайт показує запрошення записати відео для інтерв’юера, рекомендуючи користувачу дозволити доступ до камери, натиснувши кнопку. Нарешті, коли користувач надає доступ до камери, сайт просить скопіювати, вставити та виконати команду для нібито встановлення необхідних відеодрайверів. Після завантаження та інсталяції й починається проникнення вірусу у систему.

Після хакери отримують можливість віддалено контролювати заражену систему та красти cookies і облікові дані з понад 80 розширень браузера, включно з менеджерами паролів і криптовалютними гаманцями: Metamask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink і MultiverseX.

Джерело: Cisco Talos