GhostCall మాల్వేర్ ప్రచారం

సైబర్ సెక్యూరిటీ పరిశోధకులు Web3 మరియు బ్లాక్‌చెయిన్ రంగాలను లక్ష్యంగా చేసుకుని GhostCall గా ట్రాక్ చేయబడిన ఒక అధునాతన ప్రచారాన్ని కనుగొన్నారు. ఈ ఆపరేషన్ ఉత్తర కొరియాతో అనుసంధానించబడిన SnatchCrypto అనే విస్తృత చొరవలో భాగం, ఇది కనీసం 2017 నుండి పనిచేస్తోంది. ఈ ముప్పు లాజరస్ గ్రూప్ సబ్-క్లస్టర్ బ్లూనోరోఫ్‌కు ఆపాదించబడింది, దీనిని APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet మరియు Stardust Chollima వంటి బహుళ మారుపేర్లతో కూడా పిలుస్తారు.

జపాన్, ఇటలీ, ఫ్రాన్స్, సింగపూర్, టర్కీ, స్పెయిన్, స్వీడన్, భారతదేశం మరియు హాంకాంగ్‌లోని బహుళ మాకోస్ హోస్ట్‌లలో ఈ ప్రచారం బాధితులను గుర్తించారు.

అధునాతన సోషల్ ఇంజనీరింగ్ మరియు ఫిషింగ్ టెక్నిక్‌లు

GhostCall టెక్ కంపెనీలు మరియు వెంచర్ క్యాపిటల్ సంస్థలలోని ఎగ్జిక్యూటివ్‌ల macOS పరికరాలపై ఎక్కువగా దృష్టి పెడుతుంది. దాడి చేసేవారు టెలిగ్రామ్ వంటి ప్లాట్‌ఫారమ్‌ల ద్వారా లక్ష్యాలను నేరుగా సంప్రదిస్తారు, జూమ్ లాంటి ఫిషింగ్ వెబ్‌సైట్‌లలో హోస్ట్ చేయబడిన పెట్టుబడి సంబంధిత సమావేశాలకు వారిని ఆహ్వానిస్తారు.

దాడి యొక్క ముఖ్య అంశాలు:

• బాధితులు డీప్‌ఫేక్‌లకు బదులుగా ఇతర బాధితుల నిజమైన రికార్డింగ్‌లను కలిగి ఉన్న నకిలీ కాల్‌లలో చేరతారు.
• కాల్ సమయంలో, వినియోగదారులు హానికరమైన స్క్రిప్ట్ ద్వారా జూమ్ లేదా బృందాలను 'నవీకరించమని' ప్రాంప్ట్ చేయబడతారు.
• హోస్ట్‌లో బహుళ-దశల ఇన్ఫెక్షన్ గొలుసులను ప్రారంభించే జిప్ ఫైల్‌లను స్క్రిప్ట్ డౌన్‌లోడ్ చేస్తుంది.

ఈ ప్రచారం 2023 మధ్యకాలం నుండి చురుగ్గా ఉంది, బహుశా రస్ట్‌బకెట్ ప్రచారం తర్వాత, ఇది మాకోస్-కేంద్రీకృత దాడులకు సమూహం యొక్క వ్యూహాత్మక మలుపును సూచిస్తుంది. తదుపరి మాల్వేర్ కుటుంబాలలో KANDYKORN, ObjCShellz మరియు TodoSwift ఉన్నాయి.

మోసపూరిత నకిలీ జూమ్ మరియు బృందాల పేజీలు

GhostCall ఫిషింగ్ పేజీలలోకి ల్యాండింగ్ అయ్యే టార్గెట్‌లు మొదట్లో లైవ్ కాల్ యొక్క భ్రమను చూస్తారు, ఇది త్వరలో ఎర్రర్ సందేశాన్ని ప్రేరేపిస్తుంది. కాల్ కొనసాగించడానికి జూమ్ లేదా టీమ్స్ సాఫ్ట్‌వేర్ డెవలప్‌మెంట్ కిట్ (SDK)ని డౌన్‌లోడ్ చేసుకోమని వినియోగదారులను సందేశం ప్రేరేపిస్తుంది.

• MacOSలో, 'ఇప్పుడే నవీకరించు' క్లిక్ చేయడం వలన హానికరమైన AppleScript డౌన్‌లోడ్ అవుతుంది.
• విండోస్‌లో, దాడి చేసేవారు పవర్‌షెల్ ఆదేశాన్ని అమలు చేయడానికి క్లిక్‌ఫిక్స్ టెక్నిక్‌ను ఉపయోగిస్తారు.
• నకిలీ సైట్‌తో ప్రతి పరస్పర చర్యను ట్రాక్ చేస్తారు, దాడి చేసేవారు బాధితుల ప్రవర్తనను పర్యవేక్షించడానికి వీలు కల్పిస్తుంది.

ఈ ప్రచారం జూమ్ నుండి మైక్రోసాఫ్ట్ టీమ్స్ వరకు విస్తరించింది, ఇన్ఫెక్షన్ గొలుసును కొనసాగించడానికి టీమ్స్ఎఫ్ఎక్స్ SDK డౌన్‌లోడ్‌లను ఉపయోగిస్తుంది.

మాల్వేర్ మరియు ఇన్ఫెక్షన్ గొలుసులు

ప్లాట్‌ఫారమ్ ఏదైనా, AppleScript నకిలీ జూమ్ లేదా టీమ్స్ యాప్‌లను ఇన్‌స్టాల్ చేస్తుంది మరియు డౌన్‌ట్రాయ్‌ను డౌన్‌లోడ్ చేస్తుంది, ఇది పాస్‌వర్డ్ మేనేజర్‌ల నుండి పాస్‌వర్డ్‌లను సేకరిస్తుంది మరియు రూట్ అధికారాలతో అదనపు మాల్వేర్‌ను ఇన్‌స్టాల్ చేస్తుంది. GhostCall ఎనిమిది విభిన్న దాడి గొలుసులను ప్రభావితం చేస్తుంది, వాటిలో:

జూమ్‌క్లచ్ / టీమ్స్‌క్లచ్ – జూమ్ లేదా టీమ్స్‌గా మారువేషంలో ఉన్న స్విఫ్ట్-ఆధారిత ఇంప్లాంట్; ఎక్స్‌ఫిల్ట్రేషన్ కోసం సిస్టమ్ పాస్‌వర్డ్‌లను ప్రాంప్ట్ చేస్తుంది.

డౌన్‌ట్రాయ్ v1 – రీబూట్ అయ్యే వరకు అదనపు స్క్రిప్ట్‌లను డౌన్‌లోడ్ చేసుకోవడానికి గో-బేస్డ్ డ్రాపర్ ఆపిల్‌స్క్రిప్ట్-ఆధారిత డౌన్‌ట్రాయ్‌ను ప్రారంభిస్తుంది.

కాస్మిక్‌డోర్ – C++ లోడర్ (గిల్లీఇంజెక్టర్) నిమ్ బ్యాక్‌డోర్‌ను ఇంజెక్ట్ చేస్తుంది; విధ్వంసక ఫైల్ తుడిచిపెట్టే సామర్థ్యం కలిగి ఉంటుంది; సైలెంట్‌సిఫోన్‌ను డౌన్‌లోడ్ చేస్తుంది.

రూట్రాయ్ – నిమ్‌కోర్ లోడర్ పరికర నిఘా మరియు మాల్వేర్ అమలు కోసం గో బ్యాక్‌డోర్‌ను ఇంజెక్ట్ చేస్తుంది.

రియల్‌టైమ్‌ట్రాయ్ – నిమ్‌కోర్ లోడర్ గో బ్యాక్‌డోర్‌ను ఇంజెక్ట్ చేస్తుంది; ఫైల్ మరియు సిస్టమ్ నియంత్రణ కోసం WSS ప్రోటోకాల్ ద్వారా కమ్యూనికేట్ చేస్తుంది.

స్నీక్‌మెయిన్ – అదనపు ఆపిల్‌స్క్రిప్ట్ ఆదేశాలను అమలు చేయడానికి నిమ్ పేలోడ్ నిమ్కోర్ లోడర్ ద్వారా అమలు చేయబడుతుంది.

DownTroy v2 – కోర్‌కిట్‌అజెంట్ డ్రాపర్ అదనపు స్క్రిప్ట్‌లను తిరిగి పొందడానికి AppleScript-ఆధారిత DownTroy (NimDoor)ను ప్రారంభించింది.

సిస్ఫోన్ – రస్ట్‌బకెట్ వంశం నుండి C++ డౌన్‌లోడ్; నిఘా మరియు బైనరీ తిరిగి పొందడం కోసం ఉపయోగించబడుతుంది.

అదనంగా, సైలెంట్‌సిఫోన్ వీటి నుండి సున్నితమైన డేటాను సేకరిస్తుంది:

• ఆపిల్ నోట్స్, టెలిగ్రామ్, వెబ్ బ్రౌజర్ ఎక్స్‌టెన్షన్‌లు, పాస్‌వర్డ్ మేనేజర్‌లు
• డెవలపర్ మరియు క్లౌడ్ ప్లాట్‌ఫారమ్‌లు: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
• బ్లాక్‌చెయిన్ ప్లాట్‌ఫారమ్‌లు: సుయి, సోలానా, సమీపంలో, ఆప్టోస్, అల్గోరాండ్
• సిస్టమ్ సాధనాలు: డాకర్, కుబెర్నెట్స్, ఓపెన్ఏఐ

ఫ్యాబ్రికేటెడ్ సమావేశాల ద్వారా నిఘా

నకిలీ సమావేశాలలోని వీడియో ఫీడ్‌లను దాడి చేసేవారు రికార్డ్ చేశారు, అయితే పాల్గొనేవారి ప్రొఫైల్ చిత్రాలు లింక్డ్ఇన్, క్రంచ్‌బేస్ లేదా X (ట్విట్టర్) వంటి ప్రొఫెషనల్ నెట్‌వర్క్‌ల నుండి తీసుకోబడ్డాయి. కొన్ని చిత్రాలు GPT-4o ఉపయోగించి మెరుగుపరచబడ్డాయి, సోషల్ ఇంజనీరింగ్ ఉపాయానికి వాస్తవికత యొక్క పొరను జోడించాయి.

వెబ్3 మరియు వెంచర్ క్యాపిటల్‌లోని ఎగ్జిక్యూటివ్‌లను లక్ష్యంగా చేసుకుని సైబర్ బెదిరింపుల పరిణామాన్ని GhostCall ఉదాహరణగా చూపిస్తుంది, అధునాతన సోషల్ ఇంజనీరింగ్, క్రాస్-ప్లాట్‌ఫారమ్ మాల్వేర్ మరియు అధునాతన డేటా హార్వెస్టింగ్ టెక్నిక్‌లను మిళితం చేస్తుంది. ఉత్తర కొరియాతో అనుసంధానించబడిన ఈ ప్రచారాలను ఎదుర్కోవడానికి విజిలెన్స్ మరియు బహుళ-లేయర్డ్ రక్షణలు చాలా కీలకం.