Актор, орієнтована на північнокорейську загрозу, орієнтується на шукачів роботи в індустрії криптовалют з новим зловмисним програмним забезпеченням, розробленим для викрадення паролів для гаманців криптовалют та менеджерів паролів.
Cisco Talos повідомив у середу, що знайшов новий троянський доступу на базі Python (щур), який він назвав “Pylangghost”, пов’язуючи зловмисне програмне забезпечення з хакерським колективом, пов’язаним з Північною Кореєю, під назвою “Знаменита холліма”, також відомий як “Ваемоле”.
Група хакерської групи націлює на шукачів роботи та працівників з криптовалютою та блокчейн -досвіду, насамперед в Індії, з нападами, здійсненими через фальшиві кампанії з інтерв’ю, використовуючи соціальну інженерію.
“Виходячи з рекламованих позицій, зрозуміло, що знаменита холліма широко орієнтується на людей з попереднім досвідом роботи з криптовалютою та технологіями блокчейн”.
Підроблені сайти роботи та тестують обкладинку зловмисного програмного забезпечення
Зловмисники створюють шахрайські місця роботи, які представляють себе законними компаніями, такими як Coinbase, Robinhood та Uniswap, та жертви, керуються багатоетапним процесом.
Сюди входить початковий контакт з підробленими рекрутерами, які надсилають запрошення на веб-сайти для тестування навичок, де відбувається збір інформації.
Далі, жертви заманюють у наданні доступу до відео та камери для підроблених інтерв’ю, під час яких вони обдурили копіювання та виконання шкідливих команд під претензією на встановлення оновлених драйверів відео, що призводить до компромісу їх пристрою.
Цільові навантаження на криптовалютні гаманці
Pylangghost – це варіант раніше задокументованого щура Golangghost та ділиться подібною функціональністю, сказав Сіско Талос.
Після виконання команди дозволяють дистанційно керувати зараженою системою та крадіжкою файлів cookie та облікових даних із понад 80 розширень браузера, повідомляє.
Сюди входять менеджери паролів та гаманці криптовалют, включаючи Metamask, 1Password, Nordpass, Phantom, Bitski, Initia, Tronlink та Multiversex.
Багатозадачність зловмисного програмного забезпечення
Зловмисне програмне забезпечення може виконувати інші завдання та виконувати численні команди, включаючи знімок скріншотів, управління файлами, крадіжку даних браузера, збирання інформації про систему та підтримку віддаленого доступу до заражених систем.
Пов’язано: Шахраї використовують підроблені робочі місця криптовалюти, “Grasscall” зустріч для зливу гаманців
Дослідники також зазначили, що малоймовірно, що суб’єкти загрози використовували велику мовну модель штучного інтелекту, яка допоможе написати код, заснований на коментарях, зроблених у ньому.
Фальшиві приманки роботи не нові
Це не перший раз, коли хакери, пов’язані з Північною Кореєю, використовували фальшиві роботи та інтерв’ю, щоб заманювати своїх жертв.
У квітні хакери, пов’язані з 1,4 мільярда доларів Bybit Heist, орієнтувались на розробників криптовалют, використовуючи підроблені тести на підбір персоналу, заражені зловмисним програмним забезпеченням.
