قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار کمپین بدافزار GhostCall

کمپین بدافزار GhostCall

تا Mezo در بدافزار
ترجمه به:

محققان امنیت سایبری یک کمپین پیچیده را کشف کرده‌اند که بخش‌های Web3 و بلاکچین را هدف قرار می‌دهد و با نام GhostCall ردیابی می‌شود. این عملیات بخشی از یک ابتکار عمل گسترده‌تر مرتبط با کره شمالی به نام SnatchCrypto است که حداقل از سال ۲۰۱۷ فعال بوده است. این تهدید به BlueNoroff، زیرمجموعه گروه Lazarus، نسبت داده می‌شود که با نام‌های مستعار متعددی از جمله APT38، CageyChameleon، CryptoCore، Genie Spider، Nickel Gladstone، Sapphire Sleet و Stardust Chollima نیز شناخته می‌شود.

قربانیان این کمپین در چندین میزبان macOS در ژاپن، ایتالیا، فرانسه، سنگاپور، ترکیه، اسپانیا، سوئد، هند و هنگ کنگ شناسایی شده‌اند.

تکنیک‌های پیچیده مهندسی اجتماعی و فیشینگ

GhostCall به شدت روی دستگاه‌های macOS مدیران شرکت‌های فناوری و شرکت‌های سرمایه‌گذاری خطرپذیر تمرکز دارد. مهاجمان مستقیماً از طریق پلتفرم‌هایی مانند تلگرام با اهداف تماس می‌گیرند و آنها را به جلسات مربوط به سرمایه‌گذاری که در وب‌سایت‌های فیشینگ شبیه زوم برگزار می‌شود، دعوت می‌کنند.

جنبه‌های کلیدی حمله:

  • قربانیان به تماس‌های جعلی می‌پیوندند که حاوی صداهای ضبط‌شده‌ی واقعی از سایر قربانیان است، نه صداهای جعلی عمیق.
  • در طول تماس، از کاربران خواسته می‌شود که از طریق یک اسکریپت مخرب، زوم یا تیمز را «به‌روزرسانی» کنند.
  • این اسکریپت فایل‌های ZIP را دانلود می‌کند که زنجیره‌های آلودگی چند مرحله‌ای را روی میزبان آغاز می‌کنند.

این کمپین از اواسط سال ۲۰۲۳ فعال بوده است، احتمالاً پس از کمپین RustBucket که محور استراتژیک این گروه را به حملات متمرکز بر macOS نشان داد. خانواده‌های بدافزار بعدی که مستقر شده‌اند شامل KANDYKORN، ObjCShellz و TodoSwift هستند.

صفحات فریبنده و جعلی زوم و تیم‌ها

قربانیانی که در صفحات فیشینگ GhostCall قرار می‌گیرند، در ابتدا تصوری از یک تماس زنده را مشاهده می‌کنند که به سرعت یک پیام خطا نمایش داده می‌شود. این پیام از کاربران می‌خواهد که برای ادامه تماس، کیت توسعه نرم‌افزار Zoom یا Teams (SDK) را دانلود کنند.

  • در macOS، کلیک روی «به‌روزرسانی» یک اسکریپت مخرب اپل را دانلود می‌کند.
  • در ویندوز، مهاجمان از تکنیک ClickFix برای اجرای یک دستور PowerShell استفاده می‌کنند.
  • هر تعامل با سایت جعلی ردیابی می‌شود و به مهاجمان اجازه می‌دهد رفتار قربانی را زیر نظر داشته باشند.

این کمپین از آن زمان از زوم به مایکروسافت تیمز گسترش یافته و با استفاده از دانلودهای TeamsFx SDK زنجیره آلودگی را ادامه می‌دهد.

بدافزارها و زنجیره‌های آلودگی

صرف نظر از پلتفرم، AppleScript برنامه‌های جعلی Zoom یا Teams را نصب می‌کند و DownTroy را دانلود می‌کند که رمزهای عبور را از مدیران رمز عبور جمع‌آوری کرده و بدافزارهای اضافی را با امتیازات ریشه نصب می‌کند. GhostCall از هشت زنجیره حمله مجزا استفاده می‌کند، از جمله:

ZoomClutch / TeamsClutch – ایمپلنت مبتنی بر Swift که خود را به عنوان Zoom یا Teams جا می‌زند؛ برای استخراج، رمزهای عبور سیستم را درخواست می‌کند.

DownTroy نسخه ۱ – دراپر مبتنی بر Go، DownTroy مبتنی بر AppleScript را برای دانلود اسکریپت‌های اضافی تا زمان راه‌اندازی مجدد، اجرا می‌کند.

CosmicDoor - بارگذار C++ (GillyInjector) یک درِ پشتی Nim تزریق می‌کند؛ قادر به پاک کردن مخرب فایل‌ها است؛ SilentSiphon را دانلود می‌کند.

RooTroy - بارگذار Nimcore، یک درِ پشتی Go را برای شناسایی دستگاه و اجرای بدافزار تزریق می‌کند.

RealTimeTroy - بارگذار Nimcore یک در پشتی Go تزریق می‌کند؛ از طریق پروتکل WSS برای کنترل فایل و سیستم ارتباط برقرار می‌کند.

SneakMain - بار داده Nim که از طریق بارگذار Nimcore اجرا می‌شود تا دستورات اضافی AppleScript را اجرا کند.

DownTroy نسخه ۲ – دراپر CoreKitAgent، DownTroy (NimDoor) مبتنی بر AppleScript را برای بازیابی اسکریپت‌های اضافی اجرا می‌کند.

SysPhon – دانلودکننده‌ی C++ از خانواده‌ی RustBucket؛ برای شناسایی و بازیابی دودویی استفاده می‌شود.

علاوه بر این، SilentSiphon داده‌های حساس را از موارد زیر جمع‌آوری می‌کند:

  • یادداشت‌های اپل، تلگرام، افزونه‌های مرورگر وب، مدیران رمز عبور
  • پلتفرم‌های توسعه‌دهندگان و ابری: GitHub، GitLab، Bitbucket، npm، Yarn، Python pip، RubyGems، Rust cargo، NET Nuget، AWS، Google Cloud، Microsoft Azure، Oracle Cloud، Akamai، Linode، DigitalOcean، Vercel، Cloudflare، Netlify، Stripe، Firebase، Twilio، CircleCI، Pulumi، HashiCorp
  • پلتفرم های بلاک چین: Sui، Solana، NEAR، Aptos، Algorand
  • ابزارهای سیستم: داکر، کوبرنتیز، OpenAI

شناسایی از طریق جلسات ساختگی

ویدیوهای جلسات جعلی توسط مهاجمان ضبط شده بودند، در حالی که تصاویر پروفایل شرکت‌کنندگان از شبکه‌های حرفه‌ای مانند لینکدین، کرانچ‌بیس یا X (توییتر) تهیه شده بود. برخی از تصاویر با استفاده از GPT-4o بهبود یافته بودند و لایه‌ای از واقع‌گرایی به این ترفند مهندسی اجتماعی اضافه شده بود.

GhostCall نمونه‌ای از تکامل تهدیدات سایبری است که مدیران اجرایی در Web3 و سرمایه‌گذاری خطرپذیر را هدف قرار می‌دهد و ترکیبی از مهندسی اجتماعی پیشرفته، بدافزارهای چند پلتفرمی و تکنیک‌های پیچیده جمع‌آوری داده‌ها است. هوشیاری و دفاع چند لایه برای مقابله با این کمپین‌های مرتبط با کره شمالی بسیار مهم است.

پرطرفدار

کلاهبرداری در مورد جابجایی بسته پستی DHL Express

فیشینگ, هرزنامه
محققان امنیت سایبری در مورد یک کمپین فیشینگ فریبنده که به عنوان کلاهبرداری DHL Express Parcel Misplacement Scam شناخته می‌شود، هشدار داده‌اند. این ایمیل‌های جعلی به عنوان اطلاعیه‌های تحویل رسمی که ظاهراً توسط DHL ارسال می‌شوند، پنهان می‌شوند. این پیام‌ها معمولاً ادعا می‌کنند که گیرنده باید آدرس خود را تأیید کند یا تحویل را تأیید کند تا از جابجایی نادرست بسته جلوگیری شود. در واقع، این ادعاها...

روت‌کیت لینوکس LinkPro

روت کیت ها, درهای پشتی
نفوذ اخیر به محیط سرویس‌های وب آمازون (AWS) یک روت‌کیت گنو/لینوکس که قبلاً مستند نشده بود را آشکار کرد که با نام LinkPro ردیابی می‌شود. این درِ پشتی به دلیل استفاده دوگانه از ماژول‌های eBPF قابل توجه است: یک مجموعه برای پنهان کردن مصنوعات و دیگری که به عنوان یک ماشه مخفی عمل می‌کند - یک «ضربه» که عملکرد فرمان از راه دور را تنها پس از مشاهده یک بسته TCP ساخته شده خاص فعال می‌کند. زنجیره حمله و...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
32,985
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...