Фейковые собеседования в криптоиндустрии: как северокорейские хакеры используют троян PylangGhost для атак на соискателей

Северокорейская хакерская группа Famous Chollima разработала новый троян под названием PylangGhost. Ученые из Cisco Talos сообщили, что злоумышленники распространяют этот троян через поддельные собеседования для профессионалов в области криптовалют.

Для своих атак они создают фальшивые веб-сайты, которые выглядят как страницы известных компаний, таких как Coinbase, Robinhood и Uniswap.

Рекрутеры направляют кандидатам на прохождение тестирования на эти сайта, после чего предлагают включить камеру для видеоинтервью. Чтобы сделать это, нужно ввести команду в консоли, которая якобы устанавливает видеодрайвер. На самом деле она загружает вредоносное программное обеспечение.

PylangGhost представляет собой троян удаленного доступа (RAT), написанный на Python, и предназначен для работы на Windows. Он по своему функционалу схож с ранее известным вирусом GolangGhost для macOS, в то время как системы на Linux в данных атаках не затрагиваются.

После активации вирус предоставляет злоумышленникам удаленный доступ к зараженной системе, позволяя им похищать файлы cookie и учетные данные из больше чем 80 браузерных дополнений. Целями атак являются менеджеры паролей, такие как 1Password и NordPass, а также криптокошельки, включая MetaMask, Phantom, Bitski и TronLink.

Данный вирус обеспечивает хакерам постоянный доступ к зараженной системе.

Исследователи отметили, что, вероятнее всего, хакеры не использовали большие языковые модели для создания данного вируса.

Основное внимание злоумышленники обращают на специалистов из Индии, что свидетельствует о более широкой стратегии Северной Кореи. Группа не просто крадет деньги с криптобирж, но и пытается внедрить своих агентов в криптокомпании для сбора информации.

Директор Digital South Trust Дилип Кумар заявил Decrypt, что для предотвращения таких инцидентов «Индия должна ввести обязательные проверки кибербезопасности для блокчейн-компаний и следить за поддельными порталами по поиску работы».

«CERT-In должна выпускать экстренные предупреждения, а MEITY и NCIIPC должны усилить международное сотрудничество в борьбе с транснациональной киберпреступностью», — добавил он.

Кумар также выступил за «усиление законодательных норм» в рамках Закона об информационных технологиях и проведение «кампаний по повышению информированности населения в цифровой сфере».

Напомним, в апреле эксперты компании Silent Push сообщили, что группа Contagious Interview, связанная с Lazarus, создала три фиктивные компании для распространения вредоносного ПО, используя их для обмана пользователей через фейковые собеседования.