Северокорейские хакеры используют поддельные собеседования для распространения вредоносного ПО в криптоиндустрии

Северокорейская хакерская группа Famous Chollima разработала новый троян PylangGhost. По информации исследователей из Cisco Talos, злоумышленники распространяют его через фальшивые собеседования для специалистов в области криптовалют.

Чтобы осуществить свои планы, хакеры создают ложные сайты, имитирующие известные компании, такие как Coinbase, Robinhood и Uniswap.

Рекрутеры направляют потенциальных кандидатов на эти платформы для прохождения тестов. После этого соискателей просят включить камеру для виртуального интервью, предложив исполнить команду в консоли, которая, как утверждается, устанавливает видеодрайвер. На самом деле эта команда загружает вредоносное программное обеспечение.

PylangGhost представляет собой троян для удаленного доступа (RAT), написанный на Python и нацеленный на системы Windows. Это аналог ранее известного вируса GolangGhost, который распространялся на macOS. При этом системы на базе Linux не попадают под удар в рамках этих атак.

После активации вирус предоставляет злоумышленникам полный удаленный контроль над зараженной системой. Он способен красть файлы cookie и учетные записи из более чем 80 расширений браузеров. Основные цели включают в себя менеджеры паролей, такие как 1Password и NordPass, а также криптокошельки, например, MetaMask, Phantom, Bitski и TronLink.

Вирус обеспечивает хакерам постоянный удаленный доступ к зараженной системе.

Исследователи предполагают, что злоумышленники, скорее всего, не использовали современные языковые модели для написания кода вируса.

Основными объектами атаки выступают специалисты из Индии. Эксперты отметили, что это часть более обширной стратегии Северной Кореи, которая не только крадет средства с криптобирж, но и стремится внедрить своих людей в криптокомпании для сбора данных.

Директор Digital South Trust Дилип Кумар заявил в интервью Decrypt, что для предотвращения подобных инцидентов «Индия должна ввести обязательные аудиты кибербезопасности для блокчейн-компаний и контролировать фальшивые сайты поиска работы».

«CERT-In должна выпускать предупреждения красного уровня, а MEITY и NCIIPC должны усилить международное сотрудничество в борьбе с трансграничной киберпреступностью», — добавил он.

Кумар также настоятельно призвал к «усовершенствованию правовых норм» в рамках Закона об информационных технологиях и «кампаниям по повышению цифровой осведомленности».

Напоминаем, что в апреле эксперты из компании Silent Push сообщили, что группа Contagious Interview, связанная с Lazarus, создала три подставные компании для распространения вредоносного ПО. Эти фирмы используются для обмана пользователей через фальшивые собеседования.