В современном мире криптовалюта становится не только способом инвестирования и хранения капитала, но и объектом активных кибератак. Одним из наиболее тревожных трендов является активизация северокорейских хакеров, которые разрабатывают и применяют новые методы заражения устройств сотрудников криптоиндустрии. Недавние расследования, проведённые исследовательской группой Cisco Talos, выявили новую кампанию, в ходе которой северокорейские злоумышленники распространяют вредоносное программное обеспечение через фальшивые сайты, предлагающие работу в криптокомпаниях. При этом целью становится кража паролей к криптовалютным кошелькам и менеджерам паролей, используемым специалистами в отрасли. Одним из ключевых инструментов киберпреступников является новый удалённый троян на языке Python, получивший название "PylangGhost".
Специалисты связали его с киберпреступной группировкой "Famous Chollima", известной также как "Wagemole". Эта группа имеет тесную связь с Северной Кореей и ранее была причастна к ряду громких атак и краж криптовалютных активов. Особенность "PylangGhost" заключается в его многофункциональности и изощрённости. При проникновении в устройство троян обеспечивает злоумышленникам полный удалённый контроль, позволяет совершать кражу данных из более чем 80 расширений браузеров, включая менеджеры паролей и криптовалютные кошельки таких брендов, как MetaMask, 1Password, NordPass, Phantom, Bitski и другие. Расследователи подчеркивают, что атаки проводятся с применением социальных инженерных методов: потенциальным жертвам предлагаются фальшивые вакансии в известных компаниях, таких как Coinbase, Robinhood и Uniswap.
В рамках собеседований мошенники организуют онлайн-интервью с просьбой включить камеру, а затем под предлогом обновления видеодрайверов заставляют жертву выполнить вредоносные команды. Эксперты отмечают, что именно продуманное социальное манипулирование и тщательная разработка многоступенчатой схемы заражения делают атаку особенно опасной. Северокорейские злоумышленники привычно используют поддельные сайты и процессы отбора для проникновения в корпоративные и личные сети. Данный подход уже использовался ими в прошлом для атак на криптопроекты, включая известный взлом Bybit на $1,4 млрд. Таким образом, "PylangGhost" является новой вариацией ранее обнаруженного вредоносного ПО "GolangGhost", при этом сохраняя основные функции и расширяя функциональные возможности.
Помимо кражи учетных данных, троян собирает скриншоты, системную информацию, управляет файлами и поддерживает устойчивое удалённое подключение для долгосрочного контроля за устройством жертвы. Важно отметить, что даже профессионалы, работающие в криптосекторе, не застрахованы от таких атак из-за высокого уровня социальной инженерии и тщательно маскируемых инструментов. Это подчёркивает необходимость постоянного обучения и осведомлённости пользователей о рисках, связанных с онлайн-предложениями работы. Кроме того, специалисты рекомендуют использовать многофакторную аутентификацию, а также выбирать проверенные менеджеры паролей и периодически обновлять программное обеспечение и системы безопасности. Новые кибератаки северокорейских хакеров нацелены не только на финансовую выгоду, но и на дестабилизацию и подрыв доверия к криптоиндустрии.
