Сегодня сфера криптовалют и блокчейна привлекает все больше специалистов по всему миру, что не остается незамеченным для киберпреступников и государственно спонсируемых хакерских группировок. Одним из ярких примеров становится активность Северной Кореи, которая все чаще использует новые методы для кражи конфиденциальной информации у работников криптоиндустрии. Недавние исследования и расследования профессионалов кибербезопасности выявили кампанию, в которой была задействована вредоносная программа под названием PylangGhost. Этот зловред специально ориентирован на специалистов с опытом в криптовалютах и технологиях блокчейн, что вызывает серьезную обеспокоенность в профессиональной среде и среди компаний, занятых в этой динамично развивающейся области. Основной канал распространения данного вредоносного ПО — поддельные сайты по поиску работы, где жертвами становятся соискатели вакансий в криптоотрасли.
Эти сайты преимущественно имитируют популярные и уважаемые компании, такие как Coinbase, Robinhood и Uniswap. Создатели мошеннических ресурсов тщательно копируют дизайн, а также продумывают многоступенчатую схему социального инжиниринга, чтобы максимально завоевать доверие потенциальных жертв. После первоначального контакта от «фейковых» рекрутеров соискатели приглашаются на специальные сайты для прохождения технических тестов, где происходит сбор информации и подготовка к следующему шагу — прохождению видеособеседования. Здесь жертвы просят включить доступ к камере и микрофону под предлогом проведения интервью. На этом этапе злоумышленники просят выполнить определённые команды под видом установки обновленных драйверов видео, но на самом деле происходит заражение устройств вредоносным ПО.
PylangGhost — это разновидность удалённого трояна (RAT), написанного на языке программирования Python. Этот троян позволяет удаленно управлять зараженной системой, включая такие функции, как съемки скриншотов, сбор информации о системе, управление файлами и кража данных из браузерных расширений и менеджеров паролей. Вредонос способен похищать авторизационные данные из более чем 80 различных расширений браузеров, среди которых выделяются популярные криптокошельки MetaMask, Phantom, TronLink, а также менеджеры паролей, такие как 1Password, NordPass и другие. Одной из особенностей данного трояна является его мультифункциональность и глубокая интеграция с браузерной средой, что обеспечивает хакерам широкие возможности для сбора данных и долговременного контроля над зараженными машинами. Учитывая узкую направленность атак на профессионалов криптоиндустрии, жертвами становятся не только рядовые сотрудники, но и квалифицированные специалисты, обладающие ключевыми доступами к цифровым активам и проектам.
Следует отметить, что подобные схемы мошенничества не уникальны для Северной Кореи, но за последние годы такие кампании резко возросли по масштабу и изощренности. В прошлом аналогичные атаки с использованием поддельных вакансий и инфицированных результатов интервью были замечены в апреле во время громкого взлома криптобиржи Bybit на сумму свыше 1,4 миллиарда долларов. Тогда злоумышленники применяли аналогичные тактики заражения вредоносным ПО, направленного на разработчиков криптопродуктов. Текущая кампания привлекает внимание специалистов по кибербезопасности благодаря тому, что используются новые технические решения в реализации трояна, а также широкий спектр компрометируемых расширений и менеджеров паролей. Это подчеркивает высокую степень подготовки и серьезность намерений хакеров, связанных с группировкой Famous Chollima (также известной как Wagemole), при этом они активно используют социальную инженерию для проникновения в целевые организации и добычи ценной информации.
Для работы с подобными угрозами эксперты рекомендуют особую осторожность при получении предложений о работе в криптоотрасли из неизвестных источников. Важным шагом является двойная проверка рекрутинговых сайтов и компаний, а также использование многофакторной аутентификации и специализированного программного обеспечения для отслеживания подозрительной активности на компьютерах. Также критически важно регулярно обновлять программное обеспечение и избегать выполнения подозрительных команд без предварительной проверки. Растущий спрос на квалифицированные кадры в криптобизнесе делает эту индустрию мишенью для киберпреступников. Помимо факторов финансовой выгоды, данные атаки могут иметь и геополитический оттенок, так как государственные хакерские группы все чаще вовлечены в такие кампании, пытаясь получить стратегические преимущества и ресурсы.
Понимание специфики атак и методов их осуществления поможет компаниям и специалистам выстроить эффективную систему защиты и обеспечить безопасность данных и цифровых активов. Тесное сотрудничество отраслевых экспертов по безопасности, обмен информацией и повышение осведомленности среди работников криптосферы станет залогом минимизации рисков инфицирования и утечек данных. В условиях постоянно меняющихся угроз кибербезопасность в криптоиндустрии становится ключевым элементом устойчивого развития. Уязвимость к таким специализированным троянам как PylangGhost указывает на необходимость комплексного подхода к защите, включающего технические меры, обучение работников и регулярные аудиты безопасности. Подводя итог, можно отметить, что активность северокорейской хакерской группировки Famous Chollima свидетельствует о эволюции кибератак, прицеленных на высокотехнологичных специалистов и финансовые активы в криптопространстве.
Внимательность, грамотный подход к верификации и соблюдение кибергигиены остаются лучшими средствами в борьбе с подобными угрозами.
