Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare GhostCall-kampanje for skadelig programvare

GhostCall-kampanje for skadelig programvare

Med Mezo i Skadelig programvare
Oversett til:

Forskere innen nettsikkerhet har avdekket en sofistikert kampanje rettet mot Web3- og blokkjedesektorene, sporet som GhostCall. Operasjonen er en del av et bredere Nord-Korea-tilknyttet initiativ kalt SnatchCrypto, aktivt siden minst 2017. Trusselen tilskrives Lazarus Group-underklyngen BlueNoroff, også kjent under flere aliaser, inkludert APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet og Stardust Chollima.

Ofre for kampanjen har blitt identifisert på tvers av flere macOS-verter i Japan, Italia, Frankrike, Singapore, Tyrkia, Spania, Sverige, India og Hong Kong.

Sofistikerte sosial manipulering og phishing-teknikker

GhostCall fokuserer sterkt på macOS-enheter tilhørende ledere i teknologiselskaper og venturekapitalfirmaer. Angripere kontakter mål direkte via plattformer som Telegram og inviterer dem til investeringsrelaterte møter som arrangeres på Zoom-lignende phishing-nettsteder.

Viktige aspekter ved angrepet:

  • Ofre blir med i falske samtaler som inneholder ekte opptak av andre ofre i stedet for deepfakes.
  • Under samtalen blir brukerne bedt om å «oppdatere» Zoom eller Teams via et ondsinnet skript.
  • Skriptet laster ned ZIP-filer som starter flertrinns infeksjonskjeder på verten.

Kampanjen har vært aktiv siden midten av 2023, sannsynligvis etter RustBucket-kampanjen, som markerte gruppens strategiske satsing mot macOS-fokuserte angrep. Senere skadevarefamilier som ble distribuert inkluderer KANDYKORN, ObjCShellz og TodoSwift.

Villedende falske Zoom- og Teams-sider

Mål som lander på GhostCall-phishing-sidene ser først en illusjon av et live-anrop, som kort tid utløser en feilmelding. Meldingen ber brukerne om å laste ned et Zoom- eller Teams Software Development Kit (SDK) for å fortsette anropet.

  • På macOS laster du ned et skadelig AppleScript når du klikker på «Oppdater nå».
  • På Windows bruker angripere ClickFix-teknikken til å utføre en PowerShell-kommando.
  • Hver interaksjon med det falske nettstedet spores, slik at angriperne kan overvåke offerets oppførsel.

Kampanjen har siden utvidet seg fra Zoom til Microsoft Teams, ved å bruke TeamsFx SDK-nedlastinger for å fortsette smittekjeden.

Skadevare og infeksjonskjeder

Uansett plattform installerer AppleScript falske Zoom- eller Teams-apper og laster ned DownTroy, som samler passord fra passordbehandlere og installerer ytterligere skadelig programvare med root-rettigheter. GhostCall utnytter åtte forskjellige angrepskjeder, inkludert:

ZoomClutch / TeamsClutch – Swift-basert implantat som utgir seg for å være Zoom eller Teams; ber om systempassord for eksfiltrering.

DownTroy v1 – Go-basert dropper lanserer AppleScript-baserte DownTroy for å laste ned flere skript inntil omstart.

CosmicDoor – C++-laster (GillyInjector) injiserer en Nim-bakdør; i stand til destruktiv filsletting; laster ned SilentSiphon.

RooTroy – Nimcore-loader injiserer Go-bakdør for enhetsrekognosering og kjøring av skadelig programvare.

RealTimeTroy – Nimcore-loader injiserer Go-bakdør; kommuniserer via WSS-protokollen for fil- og systemkontroll.

SneakMain – Nim-nyttelast utført via Nimcore-loader for å kjøre flere AppleScript-kommandoer.

DownTroy v2 – CoreKitAgent-dropperen starter AppleScript-baserte DownTroy (NimDoor) for å hente flere skript.

SysPhon – C++-nedlaster fra RustBucket-avstamningen; brukt til rekognosering og binær henting.

I tillegg samler SilentSiphon inn sensitive data fra:

  • Apple Notes, Telegram, nettleserutvidelser, passordbehandlere
  • Utvikler- og skyplattformer: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
  • Blockchain-plattformer: Sui, Solana, NEAR, Aptos, Algorand
  • Systemverktøy: Docker, Kubernetes, OpenAI

Rekognosering via fabrikkerte møter

Videofeedene i falske møter ble tatt opp av angripere, mens profilbilder av deltakerne ble hentet fra profesjonelle nettverk som LinkedIn, Crunchbase eller X (Twitter). Noen bilder ble forbedret ved hjelp av GPT-4o, noe som tilførte et lag med realisme til sosial manipulering.

GhostCall eksemplifiserer utviklingen av cybertrusler rettet mot ledere i Web3 og risikokapital, og kombinerer avansert sosial manipulering, plattformuavhengig skadelig programvare og sofistikerte datainnsamlingsteknikker. Årvåkenhet og flerlagsforsvar er avgjørende for å motvirke disse Nord-Korea-tilknyttede kampanjene.

Trender

Mest sett

Laster inn...