Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Campanha de malware GhostCall

Campanha de malware GhostCall

Por Mezo em Malware
Traduzir Para:

Pesquisadores de cibersegurança descobriram uma campanha sofisticada direcionada aos setores da Web3 e blockchain, rastreada como GhostCall. A operação faz parte de uma iniciativa mais ampla ligada à Coreia do Norte, chamada SnatchCrypto, ativa desde pelo menos 2017. A ameaça é atribuída ao subgrupo BlueNoroff do Lazarus Group, também conhecido por vários outros pseudônimos, incluindo APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet e Stardust Chollima.

As vítimas da campanha foram identificadas em diversos servidores macOS no Japão, Itália, França, Singapura, Turquia, Espanha, Suécia, Índia e Hong Kong.

Técnicas sofisticadas de engenharia social e phishing

O GhostCall tem como alvo principal os dispositivos macOS de executivos de empresas de tecnologia e firmas de capital de risco. Os atacantes contatam as vítimas diretamente por meio de plataformas como o Telegram, convidando-as para reuniões relacionadas a investimentos, realizadas em sites de phishing semelhantes ao Zoom.

Principais aspectos do ataque:

  • As vítimas participam de chamadas falsas contendo gravações reais de outras vítimas, em vez de deepfakes.
  • Durante a chamada, os usuários são solicitados a 'atualizar' o Zoom ou o Teams por meio de um script malicioso.
  • O script baixa arquivos ZIP que iniciam cadeias de infecção em múltiplos estágios no host.

A campanha está ativa desde meados de 2023, provavelmente após a campanha RustBucket, que marcou a mudança estratégica do grupo para ataques focados no macOS. As famílias de malware subsequentes implantadas incluem KANDYKORN, ObjCShellz e TodoSwift.

Páginas falsas e enganosas do Zoom e do Teams

Os alvos que acessam as páginas de phishing do GhostCall inicialmente veem a ilusão de uma chamada ao vivo, que logo em seguida aciona uma mensagem de erro. A mensagem solicita que os usuários baixem um Kit de Desenvolvimento de Software (SDK) do Zoom ou do Teams para continuar a chamada.

  • No macOS, clicar em "Atualizar agora" baixa um AppleScript malicioso.
  • No Windows, os atacantes usam a técnica ClickFix para executar um comando do PowerShell.
  • Cada interação com o site falso é rastreada, permitindo que os atacantes monitorem o comportamento das vítimas.

Desde então, a campanha se expandiu do Zoom para o Microsoft Teams, usando downloads do SDK do TeamsFx para dar continuidade à cadeia de infecção.

Malware e Cadeias de Infecção

Independentemente da plataforma, o AppleScript instala aplicativos falsos do Zoom ou do Teams e baixa o DownTroy, que coleta senhas de gerenciadores de senhas e instala malware adicional com privilégios de root. O GhostCall utiliza oito cadeias de ataque distintas, incluindo:

ZoomClutch / TeamsClutch – Implante baseado em Swift que se disfarça de Zoom ou Teams; solicita senhas do sistema para exfiltração de dados.

DownTroy v1 – Um dropper baseado em Go que inicia o DownTroy, baseado em AppleScript, para baixar scripts adicionais até a reinicialização.

CosmicDoor – Carregador C++ (GillyInjector) injeta um backdoor Nim; capaz de apagar arquivos de forma destrutiva; baixa o SilentSiphon.

RooTroy – O carregador Nimcore injeta um backdoor Go para reconhecimento de dispositivos e execução de malware.

RealTimeTroy – Carregador Nimcore que injeta um backdoor em Go; comunica-se via protocolo WSS para controle de arquivos e do sistema.

SneakMain – Payload Nim executado através do carregador Nimcore para executar comandos AppleScript adicionais.

DownTroy v2 – O dropper do CoreKitAgent inicia o DownTroy (NimDoor) baseado em AppleScript para recuperar scripts adicionais.

SysPhon – programa para download em C++ da linhagem RustBucket; usado para reconhecimento e recuperação de binários.

Além disso, o SilentSiphon coleta dados sensíveis de:

  • Apple Notes, Telegram, extensões de navegador web, gerenciadores de senhas
  • Plataformas de desenvolvimento e nuvem: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, .NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
  • Plataformas Blockchain: Sui, Solana, NEAR, Aptos, Algorand
  • Ferramentas do sistema: Docker, Kubernetes, OpenAI

Reconhecimento por meio de reuniões fabricadas

As transmissões de vídeo das reuniões falsas foram gravadas pelos atacantes, enquanto as imagens de perfil dos participantes foram obtidas de redes profissionais como LinkedIn, Crunchbase ou X (Twitter). Algumas imagens foram aprimoradas usando o GPT-4o, adicionando uma camada de realismo à farsa de engenharia social.

O GhostCall exemplifica a evolução das ameaças cibernéticas direcionadas a executivos da Web3 e do setor de capital de risco, combinando engenharia social avançada, malware multiplataforma e técnicas sofisticadas de coleta de dados. Vigilância e defesas em múltiplas camadas são cruciais para combater essas campanhas ligadas à Coreia do Norte.

Tendendo

Mais visto

Carregando...