Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Campania de malware GhostCall

Campania de malware GhostCall

Până în Mezo în Programe malware
Tradu in:

Cercetătorii în domeniul securității cibernetice au descoperit o campanie sofisticată care vizează sectoarele Web3 și blockchain, urmărită sub numele de GhostCall. Operațiunea face parte dintr-o inițiativă mai amplă, legată de Coreea de Nord, numită SnatchCrypto, activă cel puțin din 2017. Amenințarea este atribuită subclusterului Lazarus Group, BlueNoroff, cunoscut și sub mai multe aliasuri, inclusiv APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet și Stardust Chollima.

Victimele campaniei au fost identificate pe mai multe gazde macOS din Japonia, Italia, Franța, Singapore, Turcia, Spania, Suedia, India și Hong Kong.

Tehnici sofisticate de inginerie socială și phishing

GhostCall se concentrează în mare măsură pe dispozitivele macOS ale directorilor din companiile de tehnologie și firmele de capital de risc. Atacatorii contactează direct țintele prin intermediul unor platforme precum Telegram, invitându-le la întâlniri legate de investiții găzduite pe site-uri web de phishing de tip Zoom.

Aspecte cheie ale atacului:

  • Victimele se alătură apelurilor false care conțin înregistrări autentice ale altor victime, în loc de apeluri false.
  • În timpul apelului, utilizatorii sunt solicitați să „actualizeze” Zoom sau Teams prin intermediul unui script rău intenționat.
  • Scriptul descarcă fișiere ZIP care inițiază lanțuri de infecții în mai multe etape pe gazdă.

Campania este activă de la mijlocul anului 2023, probabil în urma campaniei RustBucket, care a marcat schimbarea strategică a grupului către atacurile axate pe macOS. Printre familiile de malware implementate ulterioare se numără KANDYKORN, ObjCShellz și TodoSwift.

Pagini Zoom și Teams false și înșelătoare

Țintele care ajung pe paginile de phishing GhostCall văd inițial iluzia unui apel live, care declanșează în scurt timp un mesaj de eroare. Mesajul solicită utilizatorilor să descarce un kit de dezvoltare software (SDK) Zoom sau Teams pentru a continua apelul.

  • Pe macOS, dacă dai clic pe „Actualizează acum”, descarcă un AppleScript rău intenționat.
  • Pe Windows, atacatorii folosesc tehnica ClickFix pentru a executa o comandă PowerShell.
  • Fiecare interacțiune cu site-ul fals este urmărită, permițând atacatorilor să monitorizeze comportamentul victimelor.

Campania s-a extins de atunci de la Zoom la Microsoft Teams, folosind descărcări ale SDK-ului TeamsFx pentru a continua lanțul de infectare.

Malware și lanțuri de infecții

Indiferent de platformă, AppleScript instalează aplicații Zoom sau Teams false și descarcă DownTroy, care colectează parole de la managerii de parole și instalează programe malware suplimentare cu privilegii de root. GhostCall utilizează opt lanțuri distincte de atac, inclusiv:

ZoomClutch / TeamsClutch – Implant bazat pe Swift care se deghizează în Zoom sau Teams; solicită parole de sistem pentru exfiltrare.

DownTroy v1 – Dropper-ul bazat pe Go lansează DownTroy bazat pe AppleScript pentru a descărca scripturi suplimentare până la repornire.

CosmicDoor – încărcător C++ (GillyInjector) injectează un backdoor Nim; capabil de ștergere distructivă a fișierelor; descarcă SilentSiphon.

RooTroy – Încărcătorul Nimcore injectează backdoor-ul Go pentru recunoașterea dispozitivelor și executarea de programe malware.

RealTimeTroy – Încărcătorul Nimcore injectează backdoor-ul Go; comunică prin protocolul WSS pentru controlul fișierelor și al sistemului.

SneakMain – Sarcina utilă Nim executată prin intermediul încărcătoarei Nimcore pentru a rula comenzi AppleScript suplimentare.

DownTroy v2 – Dropper-ul CoreKitAgent lansează DownTroy (NimDoor) bazat pe AppleScript pentru a prelua scripturi suplimentare.

SysPhon – program de descărcare C++ din linia RustBucket; folosit pentru recunoaștere și regăsire binară.

În plus, SilentSiphon colectează date sensibile din:

  • Apple Notes, Telegram, extensii de browser web, manageri de parole
  • Platforme de dezvoltare și cloud: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
  • Platforme blockchain: Sui, Solana, NEAR, Aptos, Algorand
  • Instrumente de sistem: Docker, Kubernetes, OpenAI

Recunoaștere prin întâlniri fabricate

Fluxurile video din întâlnirile false au fost înregistrate de atacatori, în timp ce imaginile de profil ale participanților au provenit din rețele profesionale precum LinkedIn, Crunchbase sau X (Twitter). Unele imagini au fost îmbunătățite folosind GPT-4o, adăugând un nivel de realism stratagemei de inginerie socială.

GhostCall exemplifică evoluția amenințărilor cibernetice care vizează directorii din domeniul Web3 și al capitalului de risc, combinând ingineria socială avansată, programele malware multiplatformă și tehnicile sofisticate de colectare a datelor. Vigilența și apărarea pe mai multe niveluri sunt esențiale pentru a contracara aceste campanii legate de Coreea de Nord.

Trending

Escrocherie privind pierderea coletelor DHL Express

phishing, Spam
Cercetătorii în domeniul securității cibernetice au avertizat cu privire la o campanie de phishing înșelătoare, cunoscută sub numele de escrocheria privind pierderea coletelor DHL Express. Aceste e-mailuri frauduloase sunt deghizate în notificări oficiale de livrare, despre care se presupune că sunt trimise de DHL. Mesajele susțin de obicei că destinatarul trebuie să își verifice adresa sau să...

Cele mai văzute

Se încarcă...