Preventivo sconto multi-licenza
Database delle minacce Malware Campagna malware GhostCall

Campagna malware GhostCall

Entro Mezo nel Malware
Traduci in:

I ricercatori di sicurezza informatica hanno scoperto una sofisticata campagna mirata ai settori Web3 e blockchain, identificata come GhostCall. L'operazione fa parte di un'iniziativa più ampia, legata alla Corea del Nord, chiamata SnatchCrypto, attiva almeno dal 2017. La minaccia è attribuita al sottocluster BlueNoroff del Lazarus Group, noto anche con diversi alias, tra cui APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet e Stardust Chollima.

Le vittime della campagna sono state identificate in diversi host macOS in Giappone, Italia, Francia, Singapore, Turchia, Spagna, Svezia, India e Hong Kong.

Tecniche sofisticate di ingegneria sociale e phishing

GhostCall si concentra principalmente sui dispositivi macOS dei dirigenti di aziende tecnologiche e società di venture capital. Gli aggressori contattano direttamente le vittime tramite piattaforme come Telegram, invitandole a riunioni di investimento ospitate su siti web di phishing simili a Zoom.

Aspetti chiave dell'attacco:

  • Le vittime partecipano a chiamate false contenenti registrazioni autentiche di altre vittime, anziché deepfake.
  • Durante la chiamata, agli utenti viene chiesto di "aggiornare" Zoom o Teams tramite uno script dannoso.
  • Lo script scarica file ZIP che avviano catene di infezione in più fasi sull'host.

La campagna è attiva da metà del 2023, probabilmente in seguito alla campagna RustBucket, che ha segnato la svolta strategica del gruppo verso attacchi incentrati su macOS. Tra le famiglie di malware successivamente distribuite figurano KANDYKORN, ObjCShellz e TodoSwift.

Pagine Zoom e Teams false e ingannevoli

Gli utenti che arrivano sulle pagine di phishing di GhostCall inizialmente vedono l'illusione di una chiamata in diretta, che a breve genera un messaggio di errore. Il messaggio chiede agli utenti di scaricare un Software Development Kit (SDK) per Zoom o Teams per continuare la chiamata.

  • Su macOS, cliccando su "Aggiorna ora" si scarica un AppleScript dannoso.
  • Su Windows, gli aggressori utilizzano la tecnica ClickFix per eseguire un comando PowerShell.
  • Ogni interazione con il sito falso viene tracciata, consentendo agli aggressori di monitorare il comportamento delle vittime.

Da allora la campagna si è estesa da Zoom a Microsoft Teams, utilizzando i download dell'SDK di TeamsFx per continuare la catena di infezione.

Catene di malware e infezioni

Indipendentemente dalla piattaforma, AppleScript installa app Zoom o Teams fasulle e scarica DownTroy, che raccoglie le password dai gestori di password e installa malware aggiuntivo con privilegi di root. GhostCall sfrutta otto distinte catene di attacco, tra cui:

ZoomClutch / TeamsClutch – Impianto basato su Swift che si spaccia per Zoom o Teams; richiede password di sistema per l'esfiltrazione.

DownTroy v1 : il dropper basato su Go avvia DownTroy basato su AppleScript per scaricare script aggiuntivi fino al riavvio.

CosmicDoor – Il caricatore C++ (GillyInjector) inietta una backdoor Nim; in grado di cancellare in modo distruttivo i file; scarica SilentSiphon.

RooTroy – Il caricatore Nimcore inietta la backdoor Go per il riconoscimento del dispositivo e l'esecuzione del malware.

RealTimeTroy – Il caricatore Nimcore inietta la backdoor Go; comunica tramite protocollo WSS per il controllo di file e sistema.

SneakMain : payload Nim eseguito tramite il caricatore Nimcore per eseguire comandi AppleScript aggiuntivi.

DownTroy v2 – Il dropper CoreKitAgent avvia DownTroy (NimDoor) basato su AppleScript per recuperare script aggiuntivi.

SysPhon – Downloader C++ della stirpe RustBucket; utilizzato per la ricognizione e il recupero dei file binari.

Inoltre, SilentSiphon raccoglie dati sensibili da:

  • Apple Notes, Telegram, estensioni del browser web, gestori di password
  • Piattaforme per sviluppatori e cloud: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
  • Piattaforme blockchain: Sui, Solana, NEAR, Aptos, Algorand
  • Strumenti di sistema: Docker, Kubernetes, OpenAI

Ricognizione tramite riunioni inventate

I feed video delle riunioni fittizie sono stati registrati dagli aggressori, mentre le immagini dei profili dei partecipanti provenivano da reti professionali come LinkedIn, Crunchbase o X (Twitter). Alcune immagini sono state migliorate utilizzando GPT-4o, aggiungendo un livello di realismo allo stratagemma di ingegneria sociale.

GhostCall esemplifica l'evoluzione delle minacce informatiche che prendono di mira i dirigenti del Web3 e del capitale di rischio, combinando ingegneria sociale avanzata, malware multipiattaforma e sofisticate tecniche di raccolta dati. Vigilanza e difese multilivello sono fondamentali per contrastare queste campagne legate alla Corea del Nord.

Tendenza

I più visti

Caricamento in corso...