与朝鲜有关联的黑客组织正在通过精心设计的恶意软件攻击加密货币行业求职者,专门窃取数字钱包和密码管理器的登录凭证。
网络安全公司Cisco Talos在6月18日发布的最新报告中披露,发现了一种名为”PylangGhost”的Python远程访问木马(RAT),该恶意软件与朝鲜黑客组织”Famous Chollima”(又称”Wagemole”)存在关联。
该黑客组织主要针对印度地区具有加密货币和区块链经验的求职者,通过虚假工作面试实施社交工程攻击。报告指出:”从发布的职位信息来看,Famous Chollima明显将目标锁定在具备加密货币和区块链技术背景的专业人士身上。”
虚假招聘网站成为恶意软件传播渠道
攻击者创建了冒充Coinbase、Robinhood和Uniswap等知名加密货币公司的虚假招聘网站,并设计了一套复杂的攻击流程。
整个攻击始于假冒招聘人员的初步联系,他们会向目标发送技能测试网站的链接,借此收集个人信息。
虚假招聘网站示例。来源:Cisco Talos
在所谓的”面试”环节,受害者会被诱导开启视频和摄像头权限,同时被欺骗执行恶意命令——攻击者以需要安装更新的视频驱动程序为由,最终实现对设备的完全控制。
恶意软件专门窃取加密货币资产
研究人员表示,PylangGhost是此前发现的GolangGhost RAT的变种版本,两者具有相似的功能特征。
分析显示,该恶意软件能够远程控制受感染系统,并窃取超过80个浏览器扩展的cookie和登录凭证,包括MetaMask、1Password、NordPass、Phantom等主流密码管理器和加密货币钱包。
下载恶意负载的指令。来源:Cisco Talos
功能强大的多用途恶意软件
这款恶意软件具备多种攻击能力,包括屏幕截图、文件管理、浏览器数据窃取、系统信息收集以及维持对受感染系统的持久远程访问。
研究人员通过分析代码中的注释特征判断,攻击者不太可能使用AI大语言模型来辅助编写这些恶意代码。
虚假招聘已成常见攻击手段
这并非朝鲜黑客首次利用虚假工作机会实施攻击。今年4月,与价值14亿美元Bybit黑客事件有关的攻击者就曾通过植入恶意软件的虚假招聘测试专门针对加密货币开发者。
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/5415.html
