கோஸ்ட்கால் மால்வேர் பிரச்சாரம்

சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள், Web3 மற்றும் GhostCall என கண்காணிக்கப்படும் blockchain துறைகளை இலக்காகக் கொண்ட ஒரு அதிநவீன பிரச்சாரத்தை கண்டுபிடித்துள்ளனர். இந்த நடவடிக்கையானது, வட கொரியாவுடன் இணைக்கப்பட்ட SnatchCrypto எனப்படும் பரந்த முயற்சியின் ஒரு பகுதியாகும், இது குறைந்தது 2017 முதல் செயல்பட்டு வருகிறது. இந்த அச்சுறுத்தல், APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet மற்றும் Stardust Chollima உள்ளிட்ட பல மாற்றுப்பெயர்களால் அறியப்படும் Lazarus Group துணை-கிளஸ்டர் BlueNoroff க்குக் காரணம்.

ஜப்பான், இத்தாலி, பிரான்ஸ், சிங்கப்பூர், துருக்கி, ஸ்பெயின், ஸ்வீடன், இந்தியா மற்றும் ஹாங்காங்கில் உள்ள பல மேகோஸ் ஹோஸ்ட்களில் பிரச்சாரத்தால் பாதிக்கப்பட்டவர்கள் அடையாளம் காணப்பட்டுள்ளனர்.

அதிநவீன சமூகப் பொறியியல் மற்றும் ஃபிஷிங் நுட்பங்கள்

தொழில்நுட்ப நிறுவனங்கள் மற்றும் துணிகர மூலதன நிறுவனங்களின் நிர்வாகிகளின் மேகோஸ் சாதனங்களில் கோஸ்ட்கால் அதிக கவனம் செலுத்துகிறது. தாக்குபவர்கள் டெலிகிராம் போன்ற தளங்கள் வழியாக இலக்குகளை நேரடியாகத் தொடர்பு கொண்டு, ஜூம் போன்ற ஃபிஷிங் வலைத்தளங்களில் நடத்தப்படும் முதலீடு தொடர்பான கூட்டங்களுக்கு அவர்களை அழைக்கிறார்கள்.

தாக்குதலின் முக்கிய அம்சங்கள்:

• பாதிக்கப்பட்டவர்கள் டீப்ஃபேக்குகளுக்குப் பதிலாக மற்ற பாதிக்கப்பட்டவர்களின் உண்மையான பதிவுகளைக் கொண்ட போலி அழைப்புகளில் இணைகிறார்கள்.
• அழைப்பின் போது, பயனர்கள் ஒரு தீங்கிழைக்கும் ஸ்கிரிப்ட் வழியாக Zoom அல்லது Teams ஐ 'புதுப்பிக்க' கேட்கப்படுவார்கள்.
• ஹோஸ்டில் பல-நிலை தொற்று சங்கிலிகளைத் தொடங்கும் ZIP கோப்புகளை ஸ்கிரிப்ட் பதிவிறக்குகிறது.

இந்த பிரச்சாரம் 2023 ஆம் ஆண்டின் நடுப்பகுதியில் இருந்து செயலில் உள்ளது, இது ரஸ்ட்பக்கெட் பிரச்சாரத்தைத் தொடர்ந்து இருக்கலாம், இது குழுவின் மேகோஸ்-மையப்படுத்தப்பட்ட தாக்குதல்களுக்கு மூலோபாய மையமாக அமைந்தது. அடுத்தடுத்த தீம்பொருள் குடும்பங்களில் KANDYKORN, ObjCShellz மற்றும் TodoSwift ஆகியவை அடங்கும்.

ஏமாற்றும் போலி ஜூம் மற்றும் குழுக்கள் பக்கங்கள்

GhostCall ஃபிஷிங் பக்கங்களில் இறங்கும் இலக்குகள் ஆரம்பத்தில் ஒரு நேரடி அழைப்பின் மாயையைக் காண்கின்றன, இது விரைவில் ஒரு பிழைச் செய்தியைத் தூண்டுகிறது. இந்தச் செய்தி பயனர்களை அழைப்பைத் தொடர Zoom அல்லது Teams மென்பொருள் மேம்பாட்டுக் கருவியை (SDK) பதிவிறக்கம் செய்யத் தூண்டுகிறது.

• MacOS-இல், 'இப்போது புதுப்பி' என்பதைக் கிளிக் செய்வது தீங்கிழைக்கும் AppleScript ஐப் பதிவிறக்குகிறது.
• விண்டோஸில், தாக்குபவர்கள் பவர்ஷெல் கட்டளையை இயக்க கிளிக்ஃபிக்ஸ் நுட்பத்தைப் பயன்படுத்துகின்றனர்.
• போலி தளத்துடனான ஒவ்வொரு தொடர்பும் கண்காணிக்கப்படுகிறது, இதனால் தாக்குபவர்கள் பாதிக்கப்பட்டவரின் நடத்தையை கண்காணிக்க முடியும்.

இந்த பிரச்சாரம் Zoom இலிருந்து Microsoft Teams வரை விரிவடைந்துள்ளது, தொற்று சங்கிலியைத் தொடர TeamsFx SDK பதிவிறக்கங்களைப் பயன்படுத்துகிறது.

தீம்பொருள் மற்றும் தொற்று சங்கிலிகள்

எந்த தளமாக இருந்தாலும், AppleScript போலியான Zoom அல்லது Teams செயலிகளை நிறுவி, DownTroy ஐ பதிவிறக்குகிறது, இது கடவுச்சொல் மேலாளர்களிடமிருந்து கடவுச்சொற்களை சேகரித்து, ரூட் சலுகைகளுடன் கூடுதல் தீம்பொருளை நிறுவுகிறது. GhostCall எட்டு தனித்துவமான தாக்குதல் சங்கிலிகளைப் பயன்படுத்துகிறது, அவற்றுள்:

ZoomClutch / TeamsClutch – Zoom அல்லது Teams ஆக மாறுவேடமிடும் Swift-அடிப்படையிலான இம்ப்லாண்ட்; வெளியேற்றத்திற்கான கணினி கடவுச்சொற்களைத் தூண்டுகிறது.

டவுன்ட்ராய் v1 – மறுதொடக்கம் செய்யும் வரை கூடுதல் ஸ்கிரிப்ட்களைப் பதிவிறக்க, கோ-அடிப்படையிலான டிராப்பர் ஆப்பிள்ஸ்கிரிப்ட் அடிப்படையிலான டவுன்ட்ராய்-ஐத் தொடங்குகிறது.

காஸ்மிக்டோர் - C++ ஏற்றி (கில்லிஇன்ஜெக்டர்) ஒரு நிம் பின்புறக் கதவைச் செலுத்துகிறது; கோப்புகளை அழிக்கும் திறன் கொண்டது; சைலண்ட்சிஃபோனைப் பதிவிறக்குகிறது.

ரூட்ராய் - சாதன உளவு பார்த்தல் மற்றும் தீம்பொருள் செயல்படுத்தலுக்காக நிம்கோர் ஏற்றி கோ பேக்டோரை செலுத்துகிறது.

RealTimeTroy – நிம்கோர் ஏற்றி Go backdoor ஐ செலுத்துகிறது; கோப்பு மற்றும் அமைப்பு கட்டுப்பாட்டிற்காக WSS நெறிமுறை வழியாக தொடர்பு கொள்கிறது.

ஸ்னீக்மெயின் - கூடுதல் ஆப்பிள்ஸ்கிரிப்ட் கட்டளைகளை இயக்க நிம்கோர் ஏற்றி வழியாக நிம் பேலோட் செயல்படுத்தப்படுகிறது.

DownTroy v2 – கூடுதல் ஸ்கிரிப்ட்களை மீட்டெடுக்க CoreKitAgent டிராப்பர் AppleScript-அடிப்படையிலான DownTroy (NimDoor) ஐ அறிமுகப்படுத்துகிறது.

SysPhon – ரஸ்ட்பக்கெட் பரம்பரையிலிருந்து C++ பதிவிறக்கி; உளவு பார்த்தல் மற்றும் பைனரி மீட்டெடுப்பிற்குப் பயன்படுத்தப்படுகிறது.

கூடுதலாக, சைலண்ட்சிஃபோன் பின்வருவனவற்றிலிருந்து முக்கியமான தரவை சேகரிக்கிறது:

• ஆப்பிள் குறிப்புகள், தந்தி, வலை உலாவி நீட்டிப்புகள், கடவுச்சொல் நிர்வாகிகள்
• டெவலப்பர் மற்றும் கிளவுட் தளங்கள்: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
• பிளாக்செயின் இயங்குதளங்கள்: சுய், சோலானா, அருகில், ஆப்டோஸ், அல்கோராண்ட்
• கணினி கருவிகள்: டாக்கர், குபெர்னெட்ஸ், ஓபன்ஏஐ

தயாரிக்கப்பட்ட கூட்டங்கள் மூலம் உளவு பார்த்தல்

போலி கூட்டங்களில் உள்ள வீடியோ ஊட்டங்கள் தாக்குபவர்களால் பதிவு செய்யப்பட்டன, அதே நேரத்தில் பங்கேற்பாளர்களின் சுயவிவரப் படங்கள் LinkedIn, Crunchbase அல்லது X (Twitter) போன்ற தொழில்முறை நெட்வொர்க்குகளிலிருந்து பெறப்பட்டன. சில படங்கள் GPT-4o ஐப் பயன்படுத்தி மேம்படுத்தப்பட்டன, இது சமூக பொறியியல் தந்திரத்திற்கு ஒரு யதார்த்தமான அடுக்கைச் சேர்த்தது.

Web3 மற்றும் துணிகர மூலதனத்தில் உள்ள நிர்வாகிகளை குறிவைத்து சைபர் அச்சுறுத்தல்களின் பரிணாம வளர்ச்சியை GhostCall எடுத்துக்காட்டுகிறது, மேம்பட்ட சமூக பொறியியல், குறுக்கு-தள தீம்பொருள் மற்றும் அதிநவீன தரவு அறுவடை நுட்பங்களை இணைக்கிறது. இந்த வட கொரியாவுடன் இணைக்கப்பட்ட பிரச்சாரங்களை எதிர்ப்பதற்கு விழிப்புணர்வு மற்றும் பல அடுக்கு பாதுகாப்புகள் மிக முக்கியமானவை.