Новый угонщик данных PyLangGhost RAT атакует финансовый и технологический сектора

Механизм атаки: социальная инженерия под видом собеседований

PyLangGhost RAT, Python-версия GoLangGhostRAT, распространяется через целевые фишинговые кампании. Злоумышленники имитируют процесс трудоустройства в технологических и финансовых компаниях, включая проекты в сфере DeFi. Во время видеособеседований жертвам демонстрируется фальшивая ошибка "Race Condition in Windows Camera Discovery Cache", блокирующая доступ к камере. Для "решения проблемы" предлагается выполнить команду в терминале, которая на деле загружает и запускает вредоносный скрипт.

Как подтвердил исследователь Heiner García Pérez из BlockOSINT, столкнувшийся с атакой при рассмотрении мнимой вакансии в Aave Protocol, команда инициирует цепочку заражения:

• Загрузка ZIP-архива с домена 360scanner[.]store;
• Распаковка и запуск VBS-скрипта update.vbs;
• Исполнение переименованного python.exe (маскировка под csshost.exe);
• Активация основного модуля nvidia.py.

Технический анализ: кража данных и обход защиты

Ядро вредоноса состоит из пяти модулей, выполняющих ключевые функции:

• config.py определяет C2-сервер в Великобритании и целевые браузерные расширения: MetaMask, BitKeep, Coinbase Wallet, Phantom;
• api.py организует незашифрованное соединение с C2, используя устаревшее RC4/MD5-кодирование;
• command.py управляет выполнением команд, включая сбор системных данных и запуск reverse shell;
• auto.py извлекает криптокошельки и данные авторизации из Chrome, применяя эскалацию привилегий.

Ключевая уязвимость: обход защиты Chrome v20+

Для доступа к зашифрованным данным Chrome (логины, cookies) PyLangGhost RAT:

1. Проверяет права администратора через IsUserAnAdmin();
2. При отсутствии прав инициирует UAC-запрос с подменой имени процесса ("python.exe");
3. При эскалации привилегий получает ключи шифрования через олицетворение процесса lsass.exe;
4. Расшифровывает данные с учетом версии Chrome: прямая обработка DPAPI для v10 или двукратное декодирование для v20+.

Связь с Lazarus и ИИ-ассистированная разработка

Атрибуция атаки подтверждается сходством с инструментарием подгруппы Famous Chollima, известной нестандартными методами внедрения. Код содержит аномалии: крупные закомментированные блоки, логические конструкции, характерные для Go, и минимальная обфускация. Это указывает на возможное использование ИИ для портирования GoLangGhostRAT в Python.

Бизнес-риски и обнаружение

Угроза приводит к:

• Прямым финансовым потерям через компрометацию криптокошельков;
• Утечкам корпоративных данных и интеллектуальной собственности;
• Нарушению регуляторных требований (GDPR, CCPA);
• Репутационному ущербу для пострадавших компаний.

При нулевом уровне детектирования на VirusTotal (0-3 срабатываний) PyLangGhost RAT выявляется системами поведенческого анализа. Песочница ANY.RUN присваивает образцам 100/100 по шкале угроз, фиксируя аномалии:

• Частые HTTP-запросы к "сырым" IP-адресам без TLS;
• Стандартный User-Agent python-requests;
• Сжатие данных в памяти перед отправкой.

PyLangGhost RAT демонстрирует эволюцию тактик Lazarus Group, где социальная инженерия дополняется техническими инновациями. Специалисты по кибербезопасности подчеркивают необходимость многоуровневой защиты в условиях роста целевых атак на финансовый сектор.

IPv4

• 13.107.246.45
• 151.243.101.229

Domains

• 360scanner.store

URLs

• http://151.243.101.229:8080/
• https://360scanner.store/cam-v-b74si.fix

SHA256

• a179caf1b7d293f7c14021b80deecd2b42bbd409e052da767e0d383f71625940
• bb794019f8a63966e4a16063dc785fafe8a5f7c7553bcd3da661c7054c6674c7
• c4fd45bb8c33a5b0fa5189306eb65fa3db53a53c1092078ec62f3fc19bc05dcb
• c7ecf8be40c1e9a9a8c3d148eb2ae2c0c64119ab46f51f603a00b812a7be3b45
• ef04a839f60911a5df2408aebd6d9af432229d95b4814132ee589f178005c72f