Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Fushata e Malware GhostCall

Fushata e Malware GhostCall

Nga MezoMalware
Përkthe në:

Studiuesit e sigurisë kibernetike kanë zbuluar një fushatë të sofistikuar që synon sektorët Web3 dhe blockchain, të gjurmuar si GhostCall. Operacioni është pjesë e një iniciative më të gjerë të lidhur me Korenë e Veriut të quajtur SnatchCrypto, aktive që të paktën nga viti 2017. Kërcënimi i atribuohet nën-grupit BlueNoroff të Grupit Lazarus, i njohur gjithashtu me pseudonime të shumta duke përfshirë APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet dhe Stardust Chollima.

Viktimat e fushatës janë identifikuar në shumë hostë macOS në Japoni, Itali, Francë, Singapor, Turqi, Spanjë, Suedi, Indi dhe Hong Kong.

Teknika të sofistikuara të Inxhinierisë Sociale dhe Phishing-ut

GhostCall përqendrohet shumë në pajisjet macOS të drejtuesve në kompanitë teknologjike dhe firmat e kapitalit sipërmarrës. Sulmuesit kontaktojnë drejtpërdrejt objektivat përmes platformave si Telegram, duke i ftuar ata në takime të lidhura me investimet të organizuara në faqet e internetit të phishing-ut të ngjashme me Zoom.

Aspektet kryesore të sulmit:

  • Viktimat bashkohen me thirrje të rreme që përmbajnë regjistrime origjinale të viktimave të tjera në vend të thirrjeve të falsifikuara.
  • Gjatë thirrjes, përdoruesve u kërkohet të 'përditësojnë' Zoom ose Teams nëpërmjet një skripti keqdashës.
  • Skripti shkarkon skedarë ZIP që fillojnë zinxhirë infeksioni shumëfazësh në host.

Fushata ka qenë aktive që nga mesi i vitit 2023, me shumë mundësi pas fushatës RustBucket, e cila shënoi kthesën strategjike të grupit drejt sulmeve të fokusuara në macOS. Familjet e mëvonshme të malware-ve të vendosura përfshijnë KANDYKORN, ObjCShelz dhe TodoSwift.

Zoom dhe Faqet e Teams të Rreme Mashtruese

Objektivat që bien në faqet e phishing-ut GhostCall fillimisht shohin një iluzion të një thirrjeje të drejtpërdrejtë, e cila shpejt shkakton një mesazh gabimi. Mesazhi i nxit përdoruesit të shkarkojnë një Zoom ose Teams Software Development Kit (SDK) për të vazhduar thirrjen.

  • Në macOS, klikimi i 'Përditëso Tani' shkarkon një AppleScript keqdashës.
  • Në Windows, sulmuesit përdorin teknikën ClickFix për të ekzekutuar një komandë PowerShell.
  • Çdo ndërveprim me faqen e rreme gjurmohet, duke u lejuar sulmuesve të monitorojnë sjelljen e viktimave.

Fushata që atëherë është zgjeruar nga Zoom në Microsoft Teams, duke përdorur shkarkimet e TeamsFx SDK për të vazhduar zinxhirin e infeksionit.

Malware dhe Zinxhirët e Infeksionit

Pavarësisht platformës, AppleScript instalon aplikacione të rreme Zoom ose Teams dhe shkarkon DownTroy, i cili mbledh fjalëkalime nga menaxherët e fjalëkalimeve dhe instalon programe të tjera keqdashëse me privilegje root. GhostCall përdor tetë zinxhirë të dallueshëm sulmesh, duke përfshirë:

ZoomClutch / TeamsClutch – Implant i bazuar në Swift që maskohet si Zoom ose Teams; kërkon fjalëkalime të sistemit për nxjerrje.

DownTroy v1 – Programi dropper i bazuar në Go lançon DownTroy të bazuar në AppleScript për të shkarkuar skripte shtesë deri në rinisjen e sistemit.

CosmicDoor – Ngarkuesi C++ (GillyInjector) injekton një derë të pasme Nim; i aftë të fshijë skedarë shkatërrues; shkarkon SilentSiphon.

RooTroy – Ngarkuesi i Nimcore injekton derën e pasme të Go për zbulimin e pajisjeve dhe ekzekutimin e programeve keqdashëse.

RealTimeTroy – Ngarkuesi i Nimcore injekton derën e pasme të Go; komunikon nëpërmjet protokollit WSS për kontrollin e skedarëve dhe sistemit.

SneakMain – Ngarkesa Nim ekzekutohet nëpërmjet ngarkuesit Nimcore për të ekzekutuar komanda shtesë AppleScript.

DownTroy v2 – Programi lëshues CoreKitAgent lançon DownTroy (NimDoor) të bazuar në AppleScript për të marrë skripte shtesë.

SysPhon – shkarkues C++ nga linja RustBucket; përdoret për zbulim dhe rikthim të skedarëve binarë.

Për më tepër, SilentSiphon mbledh të dhëna të ndjeshme nga:

  • Apple Notes, Telegram, zgjerimet e shfletuesit të internetit, menaxherët e fjalëkalimeve
  • Platformat e zhvilluesve dhe cloud: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
  • Platformat Blockchain: Sui, Solana, NEAR, Aptos, Algorand
  • Mjetet e sistemit: Docker, Kubernetes, OpenAI

Zbulimi nëpërmjet takimeve të fabrikuara

Videot në takimet e rreme u regjistruan nga sulmuesit, ndërsa imazhet e profileve të pjesëmarrësve u morën nga rrjete profesionale si LinkedIn, Crunchbase ose X (Twitter). Disa imazhe u përmirësuan duke përdorur GPT-4o, duke i shtuar një shtresë realizmi hilesë së inxhinierisë sociale.

GhostCall ilustron evolucionin e kërcënimeve kibernetike që synojnë drejtuesit në Web3 dhe kapitalin sipërmarrës, duke kombinuar inxhinierinë sociale të përparuar, malware-in ndërplatformë dhe teknikat e sofistikuara të mbledhjes së të dhënave. Vigjilenca dhe mbrojtjet shumështresore janë thelbësore për t'iu kundërvënë këtyre fushatave të lidhura me Korenë e Veriut.

Në trend

Më e shikuara

Po ngarkohet...