Северная Корея использует новое вредоносное ПО для кражи информации у крипто-работников

Северокорейские угрозы распространяют вредоносное ПО через поддельные сайты криптовалютных вакансий

По данным Cisco Talos, северокорейские угрозы распространяют вредоносное ПО через поддельные сайты криптовалютных вакансий, нацеленные на специалистов по блокчейну, чтобы украсть учетные данные кошельков.

Связанные с Северной Кореей угрозы нацелились на соискателей работы в криптоиндустрии

Связанные с Северной Кореей угрозы нацелились на соискателей работы в криптоиндустрии с помощью нового вредоносного ПО, предназначенного для кражи паролей для криптовалютных кошельков и менеджеров паролей.

В среду компания Cisco Talos сообщила об обнаружении нового трояна удаленного доступа (RAT) на базе языка Python, который она назвала «PylangGhost» и связала его со связанной с Северной Кореей хакерской группой под названием «Famous Chollima», также известной как «Wagemole».

Хакерская группа атаковала соискателей работы и сотрудников с опытом работы с криптовалютами и блокчейном, в основном в Индии. Атаки осуществлялись с помощью кампаний по проведению фальшивых собеседований с использованием социальной инженерии.

Механизм атак

Злоумышленники создают мошеннические сайты, выдающие себя за легитимные компании, такие как Coinbase, Robinhood и Uniswap, и проводят жертв через многоступенчатый процесс.

Он включает в себя первоначальный контакт с фальшивыми рекрутерами, которые отправляют приглашения на сайты тестирования навыков, где происходит сбор информации.

Затем жертв заманивают разрешить доступ к видео и камере для проведения фальшивых собеседований, во время которых их обманом заставляют скопировать и выполнить вредоносные команды под предлогом установки обновленных видеодрайверов, что приводит к компрометации их устройства.

После выполнения команды позволяют удаленно управлять зараженной системой и красть деньги. Вредоносная программа может выполнять другие задачи и выполнять многочисленные команды, включая создание скриншотов, управление файлами, кражу данных браузера, сбор системной информации и обеспечение удаленного доступа к зараженным системам.

Исследователи также отметили, что, судя по комментариям в коде, для его написания вряд ли использовалась большая языковая модель искусственного интеллекта.

Предыдущие инциденты

В апреле хакеры, связанные с ограблением компании Bybit на сумму $1,4 млрд, атаковали крипторазработчиков, используя поддельные тесты для найма, зараженные вредоносным ПО.

Бизнес-тенденции в области блокчейна и криптовалют

Еженедельный обзор ключевых бизнес-тенденций в области блокчейна и криптовалют, от оживления стартапов до изменений в законодательстве. Получите ценные сведения, чтобы ориентироваться на рынке и находить финансовые возможности. Доставляется каждый четверг