Os agentes de ameaças patrocinados pelo Estado norte-coreano associados ao Lazarus Group, especificamente o subgrupo conhecido como Famous Chollima, evoluíram suas táticas implantando um novo trojan de acesso remoto (RAT) baseado em Python apelidado de PyLangGhost.
Esse malware representa uma reimplementação do GoLangGhost RAT anterior, exibindo estruturas de código indicativas de portabilidade assistida por IA, incluindo padrões lógicos semelhantes ao Go e extensas seções comentadas.
Ao contrário da disseminação tradicional de malware por meio de software pirata ou unidades USB, o PyLangGhost RAT aproveita o “ClickFix” altamente direcionado Engenharia social campanhas, voltadas principalmente para desenvolvedores e executivos dos setores de tecnologia, finanças e criptomoedas.
Nessas operações, os adversários orquestram entrevistas de emprego falsas ou chamadas de negócios, simulando erros do navegador que bloqueiam o acesso à câmera ou ao microfone.
De acordo com o Any.Run relatório, as vítimas são solicitadas a executar um suposto script de correção, que na realidade concede aos operadores remotos controle total do sistema.
Essa técnica foi recentemente documentada pelo pesquisador Heiner García Pérez, da BlockOSINT, que a encontrou durante um recrutamento simulado para o Aave DeFi Protocol.
O ataque começa com uma mensagem de erro enganosa, como uma “Condição de corrida no cache de descoberta da câmera do Windows”, instruindo o usuário a executar um comando que baixa e executa Cargas maliciosas.
O mecanismo de entrega envolve um comando curl buscando um arquivo ZIP de um domínio suspeito, extraindo-o por meio do Expand-Archive do PowerShell e iniciando um VBScript (update.vbs) que descompacta um ambiente Python limpo empacotado no Lib.zip.
Esse ambiente inclui um python.exe renomeado como csshost.exe, que executa o carregador de nvidia.py principal.
A arquitetura modular do malware compreende config.py para definir códigos de comando, servidores C2 e extensões do Chrome direcionadas, como MetaMask e Phantom; api.py para construção de pacotes criptografados por RC4 e somas de verificação MD5 sobre HTTP não TLS; e command.py para instruções de envio, incluindo reconhecimento do sistema, uploads/downloads de arquivos, shells reversos e exfiltração de credenciais.
Os módulos auxiliares util.py lidam com compactação/descompactação na memória com tar.gz, enquanto auto.py se concentra na coleta de dados de carteira de criptomoedas e credenciais armazenadas no Chrome, empregando escalonamento de privilégios por meio de prompts UAC enganosos imitando “python.exe” para acessar chaves de criptografia protegidas por DPAPI.
Implicações comerciais
O PyLangGhost RAT estabelece persistência por meio de chaves de registro e um arquivo mutex .store, garantindo a execução de instância única, e se comunica com a infraestrutura C2 usando endereços IP brutos com ofuscação RC4/MD5 fraca.
Ele suporta comandos para coletar informações do sistema, operações de arquivo, sessões de terminal e modos de roubo automatizados que compactam e exfiltram perfis de navegador em arquivos gather.tar.gz.
Para despejo de credenciais, ele representa lsass.exe para obter privilégios SYSTEM, descriptografando blobs AES-GCM dos bancos de dados SQLite de estado local e dados de login do Chrome, lidando com chaves DPAPI v10 e variantes vinculadas a aplicativos v20 com descriptografia da API CNG.
A análise comportamental revela User-Agents de solicitações python padrão e solicitações rápidas C2 como indicadores de detecção, embora as pontuações iniciais do VirusTotal permaneçam baixas (0-3 detecções), contrastando com a sinalização de alta confiança em sandboxes.
Os TTPs deste RAT se alinham com o MITRE ATT&CK, incluindo mascaramento T1036, interpretadores de script T1059, descoberta de arquivos T1083 e consultas de registro T1012, apresentando riscos graves, como perdas financeiras de comprometimentos de carteira, violações de dados, interrupções operacionais e penalidades regulatórias.
As defesas enfatizam sandboxes baseadas em comportamento para detecção precoce, treinamento de funcionários contra comandos não verificados, restrições de privilégios, monitoramento de tráfego anômalo e proteção do navegador.
Indicador de Comprometimento (IoCs)
| Tipo de COI | Valor |
|---|---|
| Domínio | 360scanner[.]loja |
| IPv4 | 13[.]107.246[.]45 |
| IPv4 | 151[.]243.101[.]229 |
| URL | https (em inglês)[:]360scanner[.]loja/cam-v-b74si.fix |
| URL | http[:]//151[.]243[.]101[.]229[:]8080/ |
| SHA256 (auto.py.bin) | bb794019f8a63966e4a16063dc785fafe8a5f7c7553bcd3da661c7054c6674c7 |
| SHA256 (command.py.bin) | c4fd45bb8c33a5b0fa5189306eb65fa3db53a53c1092078ec62f3fc19bc05dcb |
| SHA256 (config.py.bin) | c7ecf8be40c1e9a9a8c3d148eb2ae2c0c64119ab46f51f603a00b812a7be3b45 |
| SHA256 (nvidia.py.bin) | a179caf1b7d293f7c14021b80deecd2b42bbd409e052da767e0d383f71625940 |
| SHA256 (util.py.bin) | ef04a839f60911a5df2408aebd6d9af432229d95b4814132ee589f178005c72f |
| Filename | chrome_logins_dump.txt |
| Filename | gather.tar.gz |
| Mutex | .loja |
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça
