MISTER X
Эксперт
Команда форума
Судья
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Координатор арбитражей
Хакерская группа Famous Chollima (также известная как Wagemole), связанная с Северной Кореей,
атаки на специалистов в криптосфере, используя новую информационно-кражную программу PylangGhost. Об этом сообщило аналитическое подразделение Cisco Talos.
Согласно отчету, злоумышленники маскируются под работодателей, создавая фальшивые сайты криптобирж и фейковые вакансии, чтобы заманить жертв и украсть учетные данные с криптокошельков и менеджеров паролей.
Данная группировка уже неоднократно использовала социальную инженерию для инфицирования систем. На этот раз хакеры создали сайты, имитирующие Coinbase, Robinhood, Uniswap и другие компании, чтобы ввести жертв в заблуждение.
Жертвам предлагают пройти онлайн-интервью: их просят посетить сайт для проверки навыков, ввести личные данные, ответить на вопросы, а затем — запустить подозрительную команду, которая якобы устанавливает драйвер для видеоинтервью. Именно в этот момент загружается вредоносный ZIP-файл, содержащий компоненты трояна PylangGhost, в частности программу nvidia.py.
Этот Python-троян — аналог уже известного GolangGhost, созданный для удаленного контроля над зараженными системами, похищения файлов, паролей, cookies, а также данных из более 80 браузерных расширений, включая Metamask, 1Password, NordPass, Phantom, TronLink, MultiverseX и другие.
По данным Cisco Talos, атаки ориентированы преимущественно на Индию, хотя глобальные риски остаются. Больше всего поражены пользователи Windows и MacOS, тогда как Linux-системы пока не подвергаются атакам.
Троян имеет модульную структуру из шести основных файлов, в частности:
Согласно отчету, злоумышленники маскируются под работодателей, создавая фальшивые сайты криптобирж и фейковые вакансии, чтобы заманить жертв и украсть учетные данные с криптокошельков и менеджеров паролей.
Данная группировка уже неоднократно использовала социальную инженерию для инфицирования систем. На этот раз хакеры создали сайты, имитирующие Coinbase, Robinhood, Uniswap и другие компании, чтобы ввести жертв в заблуждение.
Жертвам предлагают пройти онлайн-интервью: их просят посетить сайт для проверки навыков, ввести личные данные, ответить на вопросы, а затем — запустить подозрительную команду, которая якобы устанавливает драйвер для видеоинтервью. Именно в этот момент загружается вредоносный ZIP-файл, содержащий компоненты трояна PylangGhost, в частности программу nvidia.py.
Этот Python-троян — аналог уже известного GolangGhost, созданный для удаленного контроля над зараженными системами, похищения файлов, паролей, cookies, а также данных из более 80 браузерных расширений, включая Metamask, 1Password, NordPass, Phantom, TronLink, MultiverseX и другие.
По данным Cisco Talos, атаки ориентированы преимущественно на Индию, хотя глобальные риски остаются. Больше всего поражены пользователи Windows и MacOS, тогда как Linux-системы пока не подвергаются атакам.
Троян имеет модульную структуру из шести основных файлов, в частности:
- nvidia.py — запуск, связь с C2-сервером и автозапуск;
- config.py — список команд;
- command.py — обработка команд;
- auto.py — кража браузерных данных;
- api.py — коммуникация с сервером по RC4-шифрованию;
- util.py — сжатие и распаковка данных.
Сценарий, по которому действует Famous Chollima, включает две основные тактики:
- выдавать себя за работодателей и собирать данные с реальных соискателей;
- внедрять подставных работников в компании-жертвы.
Ранее мы писали о злоумышленниках из КНДР, которые, выдавая себя за IT-специалистов с удаленной работой, на компании в Германии, Португалии, Великобритании и других странах Европы.
