Wichtigste Imbiss:
- Die in Nordkorea gebundene Gruppe berühmte Chollima eskaliert Angriffe mithilfe von Python-basierten „Pylangghost“ Malware über betrügerische Jobportale.
- Die Opfer werden während gefälschter Interviewtests zum Herunterladen von Malware gelockt.
- Malware extrahiert Daten aus über 80 Browser -Erweiterungen, einschließlich beliebter Krypto -Brieftaschen und Kennwortmanager.
Seit Mitte 2024 hat die nordkoreanisch ausgerichtete Cyberkriminalgruppe berühmte Chollima, ebenfalls als Wagemol verfolgt, zunehmend irrezeptive Kampagnen für Fachleute in der Kryptoindustrie auf den Markt gebracht. Diese als Beschäftigungsmöglichkeiten getarnten Angriffe stützen sich auf gefälschte Stellenangebote in bekannten Unternehmen wie Coinbase, Robinhood und Uniswap.
Die Angreifer ziehen ahnungslose Kandidaten an, indem sie sich als Personalvermittler ausgeben und Interviews anbieten. Sobald der Benutzer engagiert ist, werden er auf Skill-Testing-Portale angewiesen, die normalerweise mit dem React-Framework erstellt und offizieller Unternehmensseiten ähneln.
Die Kandidaten müssen Aufgaben erledigen und persönliche Informationen einreichen. Danach werden sie gebeten, ein Video für den Interviewer aufzunehmen. Zu diesem Zeitpunkt fordert die Website sie auf, den Zugang zu Kamera zu gewähren und einen böswilligen Befehl auszuführen, der angeblich zur Installation von Video -Treibern erforderlich ist.
Cisco Talos -Forscher stellten fest, dass sich diese Befehle auf der Grundlage des Betriebssystems und des Browser -Fingerabdrucks des Ziels unterscheiden. Unter Windows und MacOS werden den Benutzern detaillierte Anweisungen angezeigt, um das zu installieren, was sich als Trojaner -Nutzlast als Zip -Datei herausstellt. Linux -Benutzer stoßen jedoch häufig auf eine Fehlerseite, wodurch der Malware -Installationsprozess gestoppt wird.
Pylangghost ersetzt Ganglghost in neueren Kampagnen
Bis Ende 2024 entdeckten Sicherheitsforscher einen abgelegenen Zugangs -Trojaner in der letzten Welle von Phishing -E -Mails. Die Nutzlast namens Golangghost wurde in der GO -Sprache geschrieben. Im Mai 2025 enthüllte Cisco Talos einen frischen Spin namens Pylangghost; Es benutzte Python und benutzte sich aber fast genau wie sein Go -Vorgänger.
Pylangghost springt in dem Moment, in dem ein Benutzer den richtigen Befehl ausführt. Diese Aktion zieht eine Zip -Datei herunter, die mit der Python -Malware gepackt ist. Inside sitzt nvidia.py, die die Infektion durch das Herausschneiden von Persistenzpfaden in der Windows -Registrierung, das Erstellen einer eindeutigen System -ID und das Wählen zu seinem Befehls- und Steuerserver beginnt.
Danach fällt es in eine Nachrichtenschleife, hört auf und wartet auf Bestellungen. Die Ratte wird in sechs austauschbare Module aufgeteilt: auto.py Swipes -Passwörter und Browserverlauf, API.Py spricht mit RC4 -Verschlüsselung zurück und util.py verarbeitet das Reißverschluss von Dateien. Experten stellten fast identische Namensschemata im Go -und Python -Code fest, was darauf hinwies, dass ein Team oder zumindest eng verbundene Gruppen beide Versionen geschrieben haben.
Anmeldeinformationsdiebstahl und Krypto -Brieftasche Targeting
Sobald es sich auf ein Gerät niederlässt, beginnt der Pylangghost-Trojaner einen weitreichenden Platz für private Informationen. Es kann mehr als achtzig Browser-Add-Ons eröffnen, Cookies, gespeicherte Passwörter und geheime Schlüssel auf Jagd auf Jagen eröffnen.
Zu seinen wertvollen Fängen zählen Krypto -Brieftaschen wie Metamask, Phantom und Tronlink sowie Passwort -Gewölbe wie 1Password und NordPass. Mit diesen Token in der Hand können Crooks digitale Brieftaschen abtropfen und vorgeben, legitime Benutzer innerhalb von Unternehmenskonten zu sein.
Da sich Krypto und Sicherheit jetzt so genau überschneiden, zeigt dieser Vorgang eine steigende Marke von geldgetriebenem Spionieren. Cisco Talos berät daher jedem im Krypto-Bereich, nicht abgetriebene Shellbefehle auszuführen und alle Arbeitsmeldungen zu überprüfen, insbesondere diejenigen, die nach Systemstufe auf Systemebene fragen.
Lesen Sie auch: Australien schließt 95 Firmen, die mit Krypto -Betrug verbunden sind, 35,8 Mio. USD an Verlusten
Dieser Beitrag ist ein öffentlicher RSS Feed. Sie finden den Original Post unter tronweekly.com.
Unser Portal ist ein RSS-Nachrichtendienst und distanziert sich vor Falschmeldungen oder Irreführung. Unser Nachrichtenportal soll lediglich zum Informationsaustausch genutzt werden. Die auf dieser Website bereitgestellten Informationen stellen keine Finanzberatung dar und sind nicht als solche gedacht. Die Informationen sind allgemeiner Natur und dienen nur zu Informationszwecken. Wenn Sie Finanzberatung für Ihre individuelle Situation benötigen, sollten Sie den Rat von einem qualifizierten Finanzberater einholen. Kryptohandel hat ein großes Handelsrisiko was zum Totalverlust führen kann.
