Северные хакеры используют поддельные собеседования для кражи данных криптоэкспертов и распространения вредоносного ПО

Севернокорейские хакеры заманивают профессионалов в области криптовалют в elaborate поддельные собеседования по работе, целью которых является кража их данных и установка сложного вредоносного ПО на их устройства.

Новая Trojan-программа на языке Python под названием `PylangGhost` связана с хакерским коллективом, аффилированным с Северной Кореей, известным как `Famous Chollima`, также известным как `Wagemole`, о чем сообщила исследовательская компания по угрозам Cisco Talos в среду.

`Основываясь на рекламируемых вакансиях, очевидно, что Famous Chollima нацеливается на людей с предыдущим опытом в криптовалюте и технологиях блокчейна,` - написала компания.

Кампания в основном нацелена на профессионалов в области криптовалют и блокчейна в Индии, используя мошеннические сайты вакансий, которые выдают себя за легитимные компании, включая Coinbase, Robinhood и Uniswap.

Схема начинается с того, что поддельные рекрутеры направляют соискателей на сайты тестирования навыков, где жертвы вводят личные данные и отвечают на технические вопросы.

После окончания тестирования кандидатам предлагается включить доступ к камере для видеособеседования, после чего их просят скопировать и выполнить вредоносные команды, замаскированные под установки видеодрайверов.

Dileep Kumar H V, директор Digital South Trust, сообщил Decrypt, что для борьбы с этими мошенничествами `Индия должна обязать компании blockchain проводить аудиты кибербезопасности и контролировать поддельные порталы вакансий.`

Он также подчеркнул необходимость повышения осведомленности: `CERT-In должно выпускать красные предупреждения, в то время как MEITY и NCIIPC должны усилить глобальную координацию по транснациональной киберпреступности,` добавив, что требуются `более строгие юридические положения` в соответствии с Законом о ИТ и `кампании по повышению цифровой осведомленности.`

Недавно обнаруженное вредоносное ПО PylangGhost может красть учетные данные и сессионные куки из более чем 80 расширений браузеров, включая популярные менеджеры паролей и криптокошельки, такие как Metamask, 1Password, NordPass и Phantom.

Trojan устанавливает постоянный доступ к инфицированным системам и выполняет удаленные команды с серверов управления и контроля.

Эта последняя операция соответствует более широкому шаблону киберпреступности, сосредоточенной на криптовалютах, характерному для Северной Кореи, включая известную группу Lazarus, ответственную за некоторые из крупнейших краж в этом секторе.

Помимо кражи средств напрямую из бирж, режим теперь нацеливается на отдельных профессионалов, чтобы собирать разведывательную информацию и потенциально внедряться в криптовалютные компании изнутри.

Группа проводит атаки, связанные с наймом, начиная как минимум с 2023 года через кампании, такие как `Contagious Interview` и `DeceptiveDevelopment`, которые нацелены на разработчиков криптовалют на платформах, включая GitHub, Upwork и CryptoJobsList.

Растущее число случаев

В начале этого года северокорейские хакеры основали поддельные американские компании — BlockNovas LLC и SoftGlide LLC, чтобы распространять вредоносное ПО через мошеннические собеседования, прежде чем ФБР захватило домен BlockNovas.

PylangGhost функционально эквивалентен ранее задокументированному RAT GolangGhost, разделяя многие из тех же возможностей.

Версия на Python специально нацелена на системы Windows, в то время как версия на Golang продолжает нацеливаться на пользователей macOS. Системы Linux замечательно исключены из этих последних кампаний.

Атакующие поддерживают десятки поддельных сайтов вакансий и серверов для скачивания, с доменами, чтобы казаться легитимными, такими как `quickcamfix.online` и `autodriverfix.online`, согласно отчету.

Совместное заявление Японии, Южной Кореи и США подтвердило, что поддерживаемые Северной Кореей группы, включая Lazarus, украли как минимум 659 миллионов долларов через множество краж криптовалют в 2024 году.

В декабре 2024 года хакерская атака Radiant Capital на 50 миллионов долларов началась, когда северокорейские агенты выдавали себя за бывших подрядчиков и отправили PDFs с вредоносным ПО инженерам.

Точно так же криптообменник Kraken сообщил в мае, что ему удалось выявить и предотвратить действия северокорейского агента, который подал заявку на вакансию ИТ, поймав кандидата на том, что он не прошел базовые тесты по проверке личности во время собеседований.

Отредактировано Себастьяном Синклером.