Famous Chollima атакует криптоспециалистов с помощью Python-версии трояна GolangGhost

Активность Famous Chollima, также известной как Wagemole, фиксируется с середины 2024 года. Группа специализируется на целевых атаках, используя фишинговые кампании, фальшивые вакансии и поддельные сайты для проверки навыков. В последних атаках злоумышленники сосредоточились на сотрудниках, работающих в сфере криптовалют и блокчейн-технологий, преимущественно в Индии.

Новый троян PylangGhost распространяется через поддельные сайты трудоустройства, имитирующие известные компании, такие как Coinbase, Robinhood и Uniswap. Жертвам предлагается пройти тестирование, после чего их просят скопировать и выполнить вредоносную команду для "установки необходимых драйверов". В зависимости от операционной системы (Windows или macOS) предлагаются разные инструкции, а Linux-пользователи пока не подвергаются атакам.

После выполнения команды на устройство загружается ZIP-архив, содержащий модули PylangGhost и Visual Basic Script, который распаковывает библиотеки Python и запускает троян через файл nvidia.py. Троян состоит из шести модулей, обеспечивающих сбор системной информации, кражу данных браузеров (включая пароли и куки), а также удаленное управление зараженным устройством.

PylangGhost использует HTTP-соединение с сервером управления, шифруя передаваемые данные алгоритмом RC4. Несмотря на схожесть с GolangGhost, Python-версия имеет некоторые отличия, включая версию 1.0 (против 2.0 у Golang).

Эксперты Cisco Talos отмечают, что Famous Chollima продолжает совершенствовать свои инструменты, адаптируя их под разные платформы. Пока нет данных о заражении пользователей продуктов Cisco, однако угроза остается актуальной для специалистов в области криптовалют. Рекомендуется проявлять осторожность при переходе по ссылкам из подозрительных предложений о работе и не выполнять непроверенные команды.

Аналитики также обращают внимание на то, что группировка использует многослойную схему атак: сначала собирает личные данные через фальшивые вакансии, а затем внедряет своих агентов в компании-жертвы. Это делает их операции особенно опасными для финансового сектора.

В ближайшее время ожидается дальнейшее развитие этой угрозы, включая возможные атаки на Linux-системы и использование новых методов социальной инженерии. Компаниям, работающим с криптовалютами, следует усилить кибербезопасность и обучать сотрудников распознаванию фишинговых схем.

Domains

• api.autocamfixer.online
• api.autodriverfix.online
• api.auto-fixer.online
• api.camdriversupport.com
• api.camera-drive.org
• api.camtechdrivers.com
• api.camtuneup.online
• api.drivercams.cloud
• api.drive-release.cloud
• api.driversofthub.online
• api.fixdiskpro.online
• api.nvidia-drive.cloud
• api.nvidia-release.org
• api.nvidia-release.us
• api.quickcamfix.online
• api.quickdriverupdate.online
• api.smartdriverfix.cloud
• api.vcamfixer.online
• api.web-cam.cloud
• coinbase.talenthiringtool.com
• coinbase.talentmonitoringtool.com
• crosstheages.skillence360.com
• digitaltalent.review
• doodles.skillquestions.com
• evalassesso.com
• evalswift.com
• fast-video-recording.com
• kraken.livehiringpro.com
• krakenhire.com
• livetalentpro.com
• parallel.eskillora.com
• provevidskillcheck.com
• quantumnodespro.com
• quiz-nest.com
• robinhood.ecareerscan.com
• skill.vidintermaster.com
• talent-hiringtalk.com
• uniswap.prehireiq.com
• uniswap.speakure.com
• uniswap.testforhire.com
• www.hireviavideo.com
• www.smartvideohire.com
• www.talent-hiringstep.com
• yuga.skillquestions.com

URLs

• http://154.58.204.15:8080
• http://212.81.47.217:8080
• http://31.57.243.190:8080
• http://31.57.243.29:8080

SHA256

• 0d14960395a9d396d413c2160570116e835f8b3200033a0e4e150f5e50b68bec
• 0ec9d355f482a292990055a9074fdabdb75d72630b920a61bdf387f2826f5385
• 127406b838228c39b368faa9d6903e7e712105b5ad8f43a987a99f7b10c29780
• 1f482ce7e736a8541cc16e3e80c7890d13fb1f561ae38215a98a75dce1333cee
• 267009d555f59e9bf5d82be8a046427f04a16d15c63d9c7ecca749b11d8c8fc3
• 28198494f0ed5033085615a57573e3d748af19e4bd6ea215893ebeacf6e576df
• 5273d68b3aef1f5ebf420b91d66a064e34c4d3495332fd492fecb7ef4b19624e
• 7ac3ffb78ae1d2d9b5d3d336d2a2409bd8f2f15f5fb371a1337dd487bd471e32
• 8ead05bb10e6ab0627fcb3dd5baa59cdaab79aa3522a38dad0b7f1bc0dada10a
• 929c69827cd2b03e7b03f9a53c08268ab37c29ac4bd1b23425f66a62ad74a13b
• a206ea9b415a0eafd731b4eec762a5b5e8df8d9007e93046029d83316989790a
• b7ab674c5ce421d9233577806343fc95602ba5385aa4624b42ebd3af6e97d3e5
• b8402db19371db55eebea08cf1c1af984c3786d03ff7eae954de98a5c1186cee
• c2137cd870de0af6662f56c97d27b86004f47b866ab27190a97bde7518a9ac1b
• c2d2320ae43aaa0798cbcec163a0265cba511f8d42d90d45cd49a43fe1c40be6
• d029be4142fca334af8fe0f5f467a0e0e1c89d3b881833ee53c1e804dc912cfd
• d3500266325555c9e777a4c585afc05dfd73b4cbe9dba741c5876593b78059fd
• e7c2b524f5cb0761a973accc9a4163294d678f5ce6aca73a94d4e106f4c8fea4
• ed170975e3fd03440360628f447110e016f176a44f951fcf6bc8cdb47fbd8e0e
• fb5362c4540a3cbff8cb1c678c00cc39801dc38151edc4a953e66ade3e069225
• fc71a1df2bb4ac2a1cc3f306c3bdf0d754b9fab6d1ac78e4eceba5c6e7aee85d