Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Campaña de malware GhostCall

Campaña de malware GhostCall

Por Mezo en Software malicioso
Traducir a:

Investigadores de ciberseguridad han descubierto una sofisticada campaña dirigida a los sectores de la Web3 y la cadena de bloques, conocida como GhostCall. Esta operación forma parte de una iniciativa más amplia vinculada a Corea del Norte llamada SnatchCrypto, activa al menos desde 2017. La amenaza se atribuye al subgrupo BlueNoroff del Grupo Lazarus, también conocido por múltiples alias, entre ellos APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet y Stardust Chollima.

Se han identificado víctimas de la campaña en múltiples equipos con macOS en Japón, Italia, Francia, Singapur, Turquía, España, Suecia, India y Hong Kong.

Técnicas sofisticadas de ingeniería social y phishing

GhostCall se centra principalmente en los dispositivos macOS de ejecutivos de empresas tecnológicas y firmas de capital riesgo. Los atacantes contactan directamente con las víctimas a través de plataformas como Telegram, invitándolas a reuniones relacionadas con inversiones que se celebran en sitios web de phishing similares a Zoom.

Aspectos clave del ataque:

  • Las víctimas se unen a llamadas falsas que contienen grabaciones reales de otras víctimas en lugar de deepfakes.
  • Durante la llamada, se solicita a los usuarios que "actualicen" Zoom o Teams mediante un script malicioso.
  • El script descarga archivos ZIP que inician cadenas de infección de múltiples etapas en el host.

La campaña ha estado activa desde mediados de 2023, probablemente tras la campaña RustBucket, que marcó el giro estratégico del grupo hacia ataques centrados en macOS. Entre las familias de malware desplegadas posteriormente se incluyen KANDYKORN, ObjCShellz y TodoSwift.

Páginas falsas y engañosas de Zoom y Teams

Las víctimas que acceden a las páginas de phishing de GhostCall ven inicialmente la ilusión de una llamada en directo, que poco después activa un mensaje de error. El mensaje les solicita que descarguen un kit de desarrollo de software (SDK) de Zoom o Teams para continuar la llamada.

  • En macOS, al hacer clic en "Actualizar ahora" se descarga un AppleScript malicioso.
  • En Windows, los atacantes utilizan la técnica ClickFix para ejecutar un comando de PowerShell.
  • Se realiza un seguimiento de cada interacción con el sitio falso, lo que permite a los atacantes controlar el comportamiento de las víctimas.

Desde entonces, la campaña se ha extendido de Zoom a Microsoft Teams, utilizando descargas del SDK de TeamsFx para continuar la cadena de infección.

Malware y cadenas de infección

Independientemente de la plataforma, el AppleScript instala aplicaciones falsas de Zoom o Teams y descarga DownTroy, que extrae contraseñas de gestores de contraseñas e instala malware adicional con privilegios de administrador. GhostCall utiliza ocho cadenas de ataque distintas, entre ellas:

ZoomClutch / TeamsClutch – Implante basado en Swift que se hace pasar por Zoom o Teams; solicita contraseñas del sistema para su exfiltración.

DownTroy v1 – Un programa de descarga basado en Go ejecuta DownTroy, basado en AppleScript, para descargar scripts adicionales hasta el reinicio.

CosmicDoor – Cargador C++ (GillyInjector) inyecta una puerta trasera Nim; capaz de borrar archivos de forma destructiva; descarga SilentSiphon.

RooTroy – El cargador Nimcore inyecta una puerta trasera Go para el reconocimiento del dispositivo y la ejecución de malware.

RealTimeTroy – El cargador Nimcore inyecta una puerta trasera Go; se comunica mediante el protocolo WSS para el control de archivos y del sistema.

SneakMain – Carga útil de Nim ejecutada a través del cargador Nimcore para ejecutar comandos AppleScript adicionales.

DownTroy v2 – El instalador CoreKitAgent ejecuta DownTroy (NimDoor), basado en AppleScript, para recuperar scripts adicionales.

SysPhon – Descargador C++ de origen RustBucket; utilizado para reconocimiento y recuperación de binarios.

Además, SilentSiphon recopila datos confidenciales de:

  • Notas de Apple, Telegram, extensiones de navegadores web, gestores de contraseñas
  • Plataformas de desarrollo y en la nube: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, .NET NuGet, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
  • Plataformas blockchain: Sui, Solana, NEAR, Aptos, Algorand
  • Herramientas del sistema: Docker, Kubernetes, OpenAI

Reconocimiento mediante reuniones fabricadas

Las grabaciones de vídeo de las reuniones falsas fueron realizadas por los atacantes, mientras que las imágenes de perfil de los participantes se obtuvieron de redes profesionales como LinkedIn, Crunchbase o Twitter. Algunas imágenes fueron mejoradas con GPT-4o, lo que añadió realismo a la artimaña de ingeniería social.

GhostCall ejemplifica la evolución de las ciberamenazas dirigidas a ejecutivos de la Web3 y del sector del capital riesgo, combinando ingeniería social avanzada, malware multiplataforma y sofisticadas técnicas de recopilación de datos. La vigilancia y las defensas multicapa son fundamentales para contrarrestar estas campañas vinculadas a Corea del Norte.

Tendencias

Mas Visto

Cargando...