Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware GhostCall kártevő kampány

GhostCall kártevő kampány

Mezo -ra Malware-ben
Fordítás ide:

Kiberbiztonsági kutatók lelepleztek egy kifinomult kampányt, amely a Web3 és a blokklánc szektorokat célozza meg, és amelyet GhostCall néven követnek nyomon. A művelet egy szélesebb, Észak-Koreához köthető kezdeményezés, a SnatchCrypto része, amely legalább 2017 óta aktív. A fenyegetést a Lazarus Group BlueNoroff alklasztjához kötik, amely több álnéven is ismert, többek között APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet és Stardust Chollima.

A kampány áldozatait számos macOS-tárhelyszolgáltatónál azonosították Japánban, Olaszországban, Franciaországban, Szingapúrban, Törökországban, Spanyolországban, Svédországban, Indiában és Hongkongban.

Kifinomult szociális manipulációs és adathalász technikák

A GhostCall nagy hangsúlyt fektet a tech cégek és kockázati tőkebefektetési cégek vezetőinek macOS-eszközeire. A támadók közvetlenül olyan platformokon keresztül veszik fel a kapcsolatot a célpontokkal, mint a Telegram, és Zoom-szerű adathalász weboldalakon tartott befektetéssel kapcsolatos találkozókra hívják meg őket.

A támadás főbb aspektusai:

  • Az áldozatok olyan hamis hívásokhoz csatlakoznak, amelyek más áldozatok valódi felvételeit tartalmazzák deepfake-ek helyett.
  • A hívás során a felhasználókat egy rosszindulatú szkript kéri fel a Zoom vagy a Teams „frissítésére”.
  • A szkript ZIP fájlokat tölt le, amelyek többlépcsős fertőzési láncokat indítanak el a gazdagépen.

A kampány 2023 közepe óta aktív, valószínűleg a RustBucket kampányt követően, amely a csoport stratégiai fordulópontját jelentette a macOS-re fókuszáló támadások felé. A később telepített kártevőcsaládok közé tartozik a KANDYKORN, az ObjCShellz és a TodoSwift.

Megtévesztő, hamis Zoom és Teams oldalak

A GhostCall adathalász oldalakra érkező célpontok először egy élő hívás illúzióját látják, ami rövid időre egy hibaüzenetet vált ki. Az üzenet arra kéri a felhasználókat, hogy töltsenek le egy Zoom vagy Teams szoftverfejlesztő készletet (SDK) a hívás folytatásához.

  • macOS rendszeren a „Frissítés most” gombra kattintva letöltődik egy rosszindulatú AppleScript kód.
  • Windows rendszeren a támadók a ClickFix technikát használják PowerShell parancsok végrehajtásához.
  • A hamis weboldallal folytatott minden interakciót nyomon követnek, így a támadók megfigyelhetik az áldozatok viselkedését.

A kampány azóta a Zoomról a Microsoft Teamsre is kiterjedt, a TeamsFx SDK letöltéseit használva a fertőzési lánc folytatására.

Kártevők és fertőzési láncok

Platformtól függetlenül az AppleScript hamis Zoom vagy Teams alkalmazásokat telepít, és letölti a DownTroy-t, amely jelszókezelőkből gyűjti be a jelszavakat, és további root jogosultságokkal rendelkező kártevőket telepít. A GhostCall nyolc különböző támadási láncot használ, beleértve:

ZoomClutch / TeamsClutch – Swift alapú implantátum, amely Zoomnak vagy Teamsnek álcázza magát; rendszerjelszavakat kér a kiszivárgáshoz.

DownTroy v1 – A Go-alapú dropper elindítja az AppleScript-alapú DownTroy-t további szkriptek letöltéséhez az újraindításig.

CosmicDoor – C++ betöltő (GillyInjector) egy Nim hátsó ajtót injektál; képes destruktív fájltörlésre; letölti a SilentSiphont.

RooTroy – A Nimcore betöltője Go hátsó ajtót juttat be az eszközök felderítéséhez és a rosszindulatú programok futtatásához.

RealTimeTroy – A Nimcore betöltője Go hátsó ajtót injektál; WSS protokollon keresztül kommunikál a fájlok és a rendszer vezérléséhez.

SneakMain – Nim hasznos adat, amelyet a Nimcore betöltő hajt végre további AppleScript parancsok futtatásához.

DownTroy v2 – A CoreKitAgent dropper elindítja az AppleScript-alapú DownTroy-t (NimDoor) további szkriptek lekéréséhez.

SysPhon – C++ letöltő a RustBucket családból; felderítésre és bináris fájlok visszakeresésére használják.

Ezenkívül a SilentSiphon érzékeny adatokat gyűjt a következőkből:

  • Apple Notes, Telegram, webböngésző-bővítmények, jelszókezelők
  • Fejlesztői és felhőplatformok: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
  • Blockchain platformok: Sui, Solana, NEAR, Aptos, Algorand
  • Rendszereszközök: Docker, Kubernetes, OpenAI

Felderítés koholt találkozókon keresztül

A kamu megbeszélések videófolyamait a támadók rögzítették, míg a résztvevők profilképeit professzionális hálózatokról, például a LinkedInről, a Crunchbase-ről vagy az X-ről (Twitter) szerezték be. Egyes képeket a GPT-4o segítségével javítottak, realisztikusabbá téve a társadalmi manipuláció cseljét.

A GhostCall jól példázza a Web3 és a kockázati tőke vezetőit célzó kiberfenyegetések evolúcióját, ötvözve a fejlett pszichológiai manipulációt, a platformfüggetlen rosszindulatú programokat és a kifinomult adatgyűjtési technikákat. Az éberség és a többrétegű védelem elengedhetetlen az Észak-Koreához köthető kampányok elhárításához.

Felkapott

DHL Express csomag téves kézbesítésével kapcsolatos...

Adathalászat, Spam
Kiberbiztonsági kutatók figyelmeztetnek egy megtévesztő adathalász kampányra, amely DHL Express csomag téves kézbesítési átverésként ismert. Ezeket a csaló e-maileket hivatalos kézbesítési értesítéseknek álcázzák, amelyeket állítólag a DHL küldött. Az üzenetek jellemzően azt állítják, hogy a címzettnek ellenőriznie kell a címét vagy meg kell erősítenie a kézbesítést a csomag téves...

Legnézettebb

Betöltés...