Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Campanya de programari maliciós GhostCall

Campanya de programari maliciós GhostCall

El Mezo el Programari maliciós
Traduir a:

Investigadors de ciberseguretat han descobert una sofisticada campanya dirigida als sectors de la Web3 i la cadena de blocs, coneguda com a GhostCall. L'operació forma part d'una iniciativa més àmplia vinculada a Corea del Nord anomenada SnatchCrypto, activa des d'almenys el 2017. L'amenaça s'atribueix al subclúster BlueNoroff del Grup Lazarus, també conegut per múltiples àlies com ara APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet i Stardust Chollima.

S'han identificat víctimes de la campanya en múltiples amfitrions macOS al Japó, Itàlia, França, Singapur, Turquia, Espanya, Suècia, Índia i Hong Kong.

Tècniques sofisticades d’enginyeria social i phishing

GhostCall se centra principalment en dispositius macOS d'executius d'empreses tecnològiques i empreses de capital risc. Els atacants contacten directament amb els objectius a través de plataformes com Telegram, convidant-los a reunions relacionades amb inversions allotjades en llocs web de phishing tipus Zoom.

Aspectes clau de l'atac:

  • Les víctimes s'uneixen a trucades falses que contenen gravacions genuïnes d'altres víctimes en lloc de deepfakes.
  • Durant la trucada, es demana als usuaris que "actualitzin" Zoom o Teams mitjançant un script maliciós.
  • L'script descarrega fitxers ZIP que inicien cadenes d'infecció de diverses etapes a l'amfitrió.

La campanya ha estat activa des de mitjans del 2023, probablement després de la campanya RustBucket, que va marcar el gir estratègic del grup cap als atacs centrats en macOS. Les famílies de programari maliciós desplegades posteriorment inclouen KANDYKORN, ObjCShellz i TodoSwift.

Pàgines de Zoom i Teams falses i enganyoses

Els objectius que arriben a les pàgines de phishing de GhostCall veuen inicialment la il·lusió d'una trucada en directe, que desencadena un missatge d'error en poc temps. El missatge demana als usuaris que descarreguin un kit de desenvolupament de programari (SDK) de Zoom o Teams per continuar la trucada.

  • A macOS, si feu clic a "Actualitza ara", es descarrega un AppleScript maliciós.
  • A Windows, els atacants utilitzen la tècnica ClickFix per executar una ordre de PowerShell.
  • Es rastreja cada interacció amb el lloc web fals, cosa que permet als atacants controlar el comportament de les víctimes.

Des de llavors, la campanya s'ha expandit de Zoom a Microsoft Teams, utilitzant les descàrregues del SDK de TeamsFx per continuar la cadena d'infecció.

Programari maliciós i cadenes d’infecció

Independentment de la plataforma, AppleScript instal·la aplicacions falses de Zoom o Teams i descarrega DownTroy, que recol·lecta contrasenyes dels gestors de contrasenyes i instal·la programari maliciós addicional amb privilegis de root. GhostCall aprofita vuit cadenes d'atac diferents, que inclouen:

ZoomClutch / TeamsClutch : implant basat en Swift que es fa passar per Zoom o Teams; demana contrasenyes del sistema per a l'exfiltració.

DownTroy v1 : un dropper basat en Go inicia DownTroy basat en AppleScript per descarregar scripts addicionals fins que es reiniciï.

CosmicDoor – El carregador de C++ (GillyInjector) injecta una porta del darrere Nim; capaç d'esborrar fitxers destructivament; descarrega SilentSiphon.

RooTroy – El carregador de Nimcore injecta la porta del darrere Go per al reconeixement de dispositius i l'execució de programari maliciós.

RealTimeTroy – El carregador de Nimcore injecta la porta del darrere Go; es comunica mitjançant el protocol WSS per al control de fitxers i sistemes.

SneakMain : càrrega útil de Nim executada mitjançant el carregador de Nimcore per executar ordres AppleScript addicionals.

DownTroy v2 – El dropper CoreKitAgent inicia DownTroy (NimDoor) basat en AppleScript per recuperar scripts addicionals.

SysPhon – Descarregador de C++ del llinatge RustBucket; utilitzat per a reconeixement i recuperació binària.

A més, SilentSiphon recopila dades sensibles de:

  • Apple Notes, Telegram, extensions del navegador web, gestors de contrasenyes
  • Plataformes de desenvolupament i núvol: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
  • Plataformes Blockchain: Sui, Solana, NEAR, Aptos, Algorand
  • Eines de sistema: Docker, Kubernetes, OpenAI

Reconeixement mitjançant reunions fabricades

Els atacants van gravar els vídeos de les reunions falses, mentre que les imatges de perfil dels participants provenien de xarxes professionals com ara LinkedIn, Crunchbase o X (Twitter). Algunes imatges es van millorar amb GPT-4o, afegint una capa de realisme a l'estratagema d'enginyeria social.

GhostCall exemplifica l'evolució de les amenaces cibernètiques dirigides a executius de la Web3 i del capital risc, combinant enginyeria social avançada, programari maliciós multiplataforma i tècniques sofisticades de recopilació de dades. La vigilància i les defenses multicapa són fonamentals per contrarestar aquestes campanyes vinculades a Corea del Nord.

Tendència

Més vist

Carregant...