思科威胁情报部门Talos发现了一种名为"PylangGhost"的新型Python恶意软件,该软件与朝鲜黑客组织"Famous Chollima"存在关联。
根据思科Talos最新发布的博客文章,PylangGhost被朝鲜背景的网络威胁行为者专门用于渗透加密货币行业求职者的硬件设备。
PylangGhost是一种基于Python的新型远程访问木马,其功能与思科Talos在2024年12月发现的GolangGhost RAT类似。
网络安全公司最新发现,该恶意软件正被"Famous Chollima"黑客组织积极用于渗透Windows系统,同时继续针对MacOS用户部署基于Golang的版本。开源数据显示,目前大多数受害者位于印度。
"Famous Chollima"也被称为"Wagemole",因其屡次试图窃取密码、渗透用户加密货币钱包,并通过虚假网络招聘获取其他敏感信息。
朝鲜黑客如何锁定受害者?
报告显示,该黑客组织通过社会工程学手段,利用虚假面试活动诱骗受害者。攻击者会创建冒充Coinbase、Robinhood和Uniswap等知名加密企业的虚假招聘网站。
受害者被要求参与由虚假招聘人员发起的多步骤流程,随后被引导至伪造的技能测试网站收集个人信息。
在准备虚假面试时,用户会被诱骗授予网站摄像头和麦克风访问权限。在此阶段,假招聘人员会以安装更新视频驱动为名,要求用户复制执行恶意命令。
命令执行后,恶意软件即可渗透设备。该命令不仅允许远程控制被感染设备,还能让攻击者获取80多个浏览器扩展的cookie和凭证。
受影响目标包括密码管理器和加密货币钱包,如MetaMask、1Password、NordPass、Phantom、Bitski、Initia、TronLink和MultiverseX等。
正如加密媒体四月报道,另一朝鲜黑客组织"Lazarus Group"也采用类似手法诱骗用户。攻击者会部署虚假职位申请,其中至少包含三种与朝鲜网络行动相关的恶意软件。
