На фоне киберугроз, исходящих из Северной Кореи, аналитики Cisco Talos обнаружили новое вредоносное ПО — PylangGhost, направленное на криптоиндустрию. Его распространяет группировка Famous Chollima, известная своими атакующими кампаниями на криптопроекты по всему миру.
Особенностью этой атаки является продуманная социальная инженерия. Потенциальным сотрудникам предлагают пройти интервью с «представителями» топовых криптобирж, после чего их просят ввести в консоль команду для «настройки видеосвязи». Так на устройства жертвы попадает троян.
PylangGhost — это Python-версия трояна удаленного доступа, аналог известного GolangGhost. Он целенаправленно атакует Windows-системы, избегая Linux и macOS в данной модификации. Вирус незаметно крадет ключевую информацию — куки, токены, пароли и данные из более чем 80 браузерных расширений, включая кошельки и менеджеры паролей.
Больше всего атак зафиксировано в Индии. Злоумышленники пытаются не только получить финансовую выгоду, но и встраивать своих агентов в структуру криптофирм для сбора чувствительных данных.
Власти Индии уже озабочены ситуацией. Призывы к регуляторным мерам включают усиление аудитов, создание белых списков порталов и запуск образовательных кампаний по кибербезопасности.