Специалисты Cisco Talos зафиксировали новую волну киберугроз для крипторынка — на сцене появился троян PylangGhost, разработанный северокорейской группировкой Famous Chollima. Атаки ведутся под прикрытием поддельных собеседований для специалистов из криптоиндустрии, что делает схему особенно опасной и коварной.

Хакеры создают фальшивые веб-страницы, копирующие внешний вид и структуру ресурсов таких компаний, как Coinbase, Uniswap и Robinhood. Под предлогом найма IT-специалистов кандидатов просят пройти онлайн-тест, после чего им предлагают «установить видеодрайвер» для интервью. На деле же под этой командой скрывается установка трояна.

PylangGhost — это RAT-вирус, написанный на Python и предназначенный для заражения систем под управлением Windows. Он действует аналогично GolangGhost, ранее нацеленному на пользователей macOS. Linux-системы в рамках данной атаки остаются вне фокуса.

После активации троян предоставляет злоумышленникам постоянный удаленный доступ и собирает данные с более чем 80 расширений браузеров. Цель — кража логинов, паролей, токенов доступа и приватных ключей от криптокошельков: MetaMask, Phantom, Bitski, TronLink и менеджеров паролей вроде NordPass и 1Password.

Особенность атак в их социальной направленности. Основная мишень — специалисты из Индии. Хакеры используют эти внедрения не только для кражи криптовалюты, но и для разведки: анализ внутренних процессов, уязвимостей и возможностей последующего доступа к фондовым активам компаний.

Эксперты в Индии, включая директора Digital South Trust Дилипа Кумара, настаивают на необходимости срочного регулирования отрасли: проведение обязательных аудитов, блокировка фейковых порталов и усиление международного сотрудничества в сфере ИБ.

Источник