朝鲜黑客正在部署PylangGhost木马,针对加密专家,通过虚假招聘页面窃取钱包和密码。
一项新的复杂网络攻击活动,据称由朝鲜黑客组织实施,正在针对加密货币和区块链领域的专家。该活动的主要工具是名为"PylangGhost"的远程访问木马,专门设计用于窃取加密钱包和密码管理器中的敏感信息。
根据思科塔洛斯周三发布的报告,幕后黑客组织被确定为"著名的千里马",也被称为"Wagemole"。PylangGhost是之前发现的GolangGhost RAT的升级版本,使用Python编程语言构建,具有更有效的系统渗透和数据窃取能力。
攻击活动主要针对印度的加密专家 - 一个在区块链领域正在经历大幅增长的国家。值得注意的是,著名的千里马组织的主要方法是使用社会工程技术,通过虚假招聘场景。该组织创建了模仿Coinbase、Robinhood和Uniswap等大型金融科技公司的虚假网站,从而接触求职者。
当受害者被虚假"招聘人员"联系时,他们被邀请参加这些虚假招聘网站上的在线技能测试。在面试过程中,受害者被说服授予设备摄像头和视频的访问权限,并被指导复制和执行一段恶意代码 - 伪装成安装新视频驱动程序的必要步骤。
一旦受害者激活恶意代码,PylangGhost将被安装在设备上,使黑客完全控制系统。恶意代码的有效载荷旨在从超过80个浏览器扩展中提取Cookie和登录信息,特别是小狐狸、Phantom等流行的加密钱包,以及1Password等密码管理器。
使用虚假招聘来攻击并非新鲜事,但通过利用人为因素绕过技术防御措施始终证明效果显著。此前,4月份,另一个与Bybit被盗1.4亿美元相关的黑客组织也被发现使用类似方法,诱使加密程序员执行包含恶意代码的虚假招聘测试。
PylangGhost和这次最新活动的出现表明,朝鲜黑客正在持续发展和完善针对数字金融高价值目标的攻击工具。
