Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Новый троян атакует крипто-специалистов Windows

2 мин
Изображение: recraft Исследователи Cisco Talos опубликовали отчёт, в котором раскрывается новая фаза активности группировки Famous Chollima, связанной с Северной Кореей. В фокусе — троян удалённого доступа PylangGhost, написанный на Python и предназначенный для атак на специалистов в области криптовалют и блокчейн-технологий. Этот инструмент представляет собой функциональное продолжение ранее выявленного RAT GolangGhost, но адаптирован для пользователей Windows. Сценарий атаки начинается с публикации фальшивых вакансий от имени известных криптовалютных компаний, таких как Coinbase или Uniswap. Жертвам предлагается пройти онлайн-собеседование через сайт, визуально оформленный на фреймворке React. Во время прохождения «тестов» кандидатов просят предоставить персональные данные, пройти опрос и записать видеоинтервью, дав доступ к камере. На финальном этапе пользователю предлагается установить якобы необходимый видеодрайвер, загрузив его через командную строку. Вместо драйвера загружается

Изображение: recraft

Исследователи Cisco Talos опубликовали отчёт, в котором раскрывается новая фаза активности группировки Famous Chollima, связанной с Северной Кореей. В фокусе — троян удалённого доступа PylangGhost, написанный на Python и предназначенный для атак на специалистов в области криптовалют и блокчейн-технологий. Этот инструмент представляет собой функциональное продолжение ранее выявленного RAT GolangGhost, но адаптирован для пользователей Windows.

Сценарий атаки начинается с публикации фальшивых вакансий от имени известных криптовалютных компаний, таких как Coinbase или Uniswap. Жертвам предлагается пройти онлайн-собеседование через сайт, визуально оформленный на фреймворке React. Во время прохождения «тестов» кандидатов просят предоставить персональные данные, пройти опрос и записать видеоинтервью, дав доступ к камере.

На финальном этапе пользователю предлагается установить якобы необходимый видеодрайвер, загрузив его через командную строку. Вместо драйвера загружается ZIP-архив, в составе которого — несколько Python-модулей и скрипт на Visual Basic. Последний запускает троян PylangGhost, маскируемый под файл nvidia.py. Это название должно убедить пользователя в легитимности установки.

Аналитики отмечают, что PylangGhost активно используется только против пользователей Windows. Версия для macOS продолжает базироваться на Golang, а Linux-системы в этой волне атак не затронуты.

Троян обладает широким набором функций:

  • сбор данных с устройства;
  • удалённый доступ к файловой системе;
  • запись с веб-камеры;
  • выполнение команд;
  • скрытая передача данных на удалённые серверы.

По мнению Cisco Talos, такие атаки представляют собой точечные, высокоспециализированные операции, ориентированные на специалистов, вовлечённых в цифровую экономику. Применение социальной инженерии, поддельных интерфейсов, визуальных аналогий с известными компаниями и задействование легитимных инструментов вроде Python-интерпретатора позволяют злоумышленникам обходить стандартные механизмы защиты.

Оригинал публикации на сайте CISOCLUB: "Cisco Talos: группа Famous Chollima распространяет троян PylangGhost под видом видеодрайверов через поддельные криптовалютные вакансии".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.