一个与朝鲜有关联的威胁行为者正在利用设计精巧的新型恶意软件针对加密货币行业求职者,旨在窃取加密货币钱包和密码管理器的访问凭证。
Cisco Talos6月18日(周三)发布报告指出,他们发现了一种名为"PylangGhost"的基于Python的远程访问木马(RAT),该恶意软件与朝鲜黑客组织"Famous Chollima"(又称"Wagemole")有关。
该黑客组织主要通过社交工程手段实施虚假工作面试活动,针对印度地区拥有加密货币和区块链经验的求职者和从业人员。"从广告宣传的职位来看,很明显Famous Chollima广泛瞄准了那些具备加密货币和区块链技术经验的个人。"
虚假招聘网站和测试成为恶意软件掩护
攻击者精心打造冒充Coinbase、Robinhood和Uniswap等合法公司的虚假招聘网站,并引导受害者完成多个精心设计的步骤。
这一过程始于假招聘人员的初步联系,他们会向目标发送技能测试网站的邀请,借此收集信息。
随后,受害者被诱导在所谓的"面试"过程中启用视频和摄像头访问权限,在此期间他们被欺骗复制并执行恶意命令,理由是需要安装更新的视频驱动程序,最终导致设备被完全控制。
恶意负载专门针对加密货币钱包
思科塔洛斯表示,PylangGhost是此前记录的GolangGhost RAT的变种,两者功能高度相似。
专家分析指出,执行后,这些命令能够实现对被感染系统的远程控制,并窃取超过80个浏览器扩展程序的cookie和凭证。
这些目标扩展程序包括各类密码管理器和加密货币钱包,如MetaMask、1Password、NordPass、Phantom、Bitski、Initia、TronLink和MultiverseX等。
多功能威胁恶意软件
该恶意软件功能强大,能够执行多种任务和众多命令,包括屏幕截图、文件管理、浏览器数据窃取、系统信息收集以及维持对受感染系统的持久远程访问。
研究人员还发现,根据代码内部的注释特征分析,威胁行为者不太可能使用人工智能大语言模型来辅助编写这些代码。
虚假招聘诱饵屡见不鲜
这并非朝鲜相关黑客首次利用虚假工作机会和面试来诱骗受害者。
今年4月,与价值14亿美元Bybit黑客事件有关的攻击者曾利用植入恶意软件的虚假招聘测试专门针对加密货币开发人员。