Se ha observado que actores de amenazas vinculados a Corea del Norte atacan los sectores Web3 y blockchain como parte de campañas gemelas rastreadas como Llamada fantasma y Contrata fantasmas .
Según Kaspersky, las campañas son parte de una operación más amplia llamada Arrebatar criptomonedas que ha estado en marcha al menos desde 2017. La actividad se atribuye a un subgrupo del Grupo Lazarus llamado Azul o apagado , que también se conoce como APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet (anteriormente Copernicium) y Stardust Chollima.
Las víctimas de la campaña GhostCall abarcan varios servidores macOS infectados ubicados en Japón, Italia, Francia, Singapur, Turquía, España, Suecia, India y Hong Kong, mientras que Japón y Australia han sido identificados como los principales cotos de caza de la campaña GhostHire.
«GhostCall apunta en gran medida a los dispositivos macOS de los ejecutivos de las empresas de tecnología y del sector del capital riesgo, ya que se acerca directamente a los objetivos a través de plataformas como Telegram e invita a las posibles víctimas a reuniones relacionadas con la inversión vinculadas a sitios web de suplantación de identidad similares a Zoom», dijeron los investigadores de Kaspersky Sojun Ryu y Omar Amin dijo .
«La víctima se uniría a una llamada falsa con grabaciones genuinas de otras víctimas reales de esta amenaza, en lugar de con copias falsas. La llamada se desarrolla sin problemas y, a continuación, anima al usuario a actualizar el cliente de Zoom con un script. Finalmente, el script descarga archivos ZIP que dan lugar a cadenas de infección que se despliegan en un host infectado».
Por otro lado, GhostHire implica acercarse a posibles objetivos, como los desarrolladores de Web3, en Telegram y atraerlos para que descarguen y ejecuten un repositorio de GitHub con trampas explosivas con el pretexto de completar una evaluación de habilidades a los 30 minutos de compartir el enlace, a fin de garantizar una mayor tasa de éxito de la infección.
Una vez instalado, el proyecto está diseñado para descargar una carga maliciosa en el sistema del desarrollador en función del sistema operativo utilizado. La empresa rusa de ciberseguridad dijo que ha estado vigilando las dos campañas desde abril de 2025, aunque se estima que GhostCall ha estado activa desde mediados de 2023, probablemente después de Cubo oxidado campaña.
RustBucket marcó el principal giro del colectivo adversario al centrarse en los sistemas macOS, tras lo cual otras campañas han aprovechado familias de malware como MAÍZ CANYKORN , Objc Shellz , y A Doswift .
Vale la pena señalar que varios proveedores de seguridad documentaron ampliamente varios aspectos de la actividad durante el último año, entre ellos Microsoft , Huntress, Efecto de campo , Huntabil.it, Validin y SentinelOne .
La campaña GhostCall
Los destinatarios que acceden a las páginas falsas de Zoom como parte de la campaña GhostCall reciben inicialmente una página falsa que da la impresión de que se trata de una llamada en directo, solo para mostrar un mensaje de error tres o cinco segundos después en el que se les insta a descargar un kit de desarrollo de software (SDK) de Zoom para solucionar un supuesto problema relacionado con la continuación de la llamada.
Si las víctimas caen en la trampa e intentan actualizar el SDK haciendo clic en la opción «Actualizar ahora», se descargará un archivo AppleScript malicioso en su sistema. En el caso de que la víctima utilice una máquina Windows, el ataque aprovecha la Técnica ClickFix para copiar y ejecutar un comando de PowerShell.
|
| Flujo de ataques de la campaña de GhostCall |
En cada etapa, cada interacción con el sitio falso se graba y se dirige a los atacantes para que rastreen las acciones de la víctima. Tan recientemente como el mes pasado, se observó que el autor de la amenaza hacía la transición de Zoom a Microsoft Teams, utilizando la misma táctica de engañar a los usuarios para que descargaran un SDK de TeamSFX, esta vez para activar la cadena de infección.
Independientemente del señuelo utilizado, el AppleScript está diseñado para instalar una aplicación falsa disfrazada de Zoom o Microsoft Teams. También descarga otro AppleScript denominado DownTroy que comprueba las contraseñas almacenadas asociadas a las aplicaciones de gestión de contraseñas e instala malware adicional con privilegios de usuario root.
DownTroy, por su parte, está diseñado para lanzar varias cargas útiles como parte de ocho cadenas de ataque distintas y, al mismo tiempo, eludir la transparencia, el consentimiento y el control de Apple ( TCC ) marco -
- ZoomClutch o TeamsClutch, que utiliza un implante basado en Swift que se hace pasar por Zoom o Teams y, al mismo tiempo, alberga la funcionalidad de solicitar al usuario que introduzca la contraseña de su sistema para completar la actualización de la aplicación y filtrar los detalles a un servidor externo
- DownTroy v1, que usa un dropper basado en Go para lanzar el malware DownTroy basado en AppleScript, que luego se encarga de descargar scripts adicionales del servidor hasta que se reinicie la máquina.
- CosmicDoor, que usa un cargador binario de C++ llamado GillyInjector (también conocido como InjectWithDyld) para ejecutar una aplicación Mach-O benigna e inyectarle una carga maliciosa durante el tiempo de ejecución. Cuando se ejecuta con el indicador --d, GillyInjector activa sus capacidades destructivas y borra de forma irrevocable todos los archivos del directorio actual. La carga útil inyectada es una puerta trasera escrita en Nim llamada CosmicDoor que puede comunicarse con un servidor externo para recibir y ejecutar comandos. Se cree que los atacantes primero desarrollaron una versión Go de CosmicDoor para Windows, antes de pasar a las variantes de Rust, Python y Nim. También descarga una suite para robar scripts en bash llamada SilentSiphon.
- RooTroy, que usa el cargador Nimcore para lanzar GillyInjector, que luego inyecta una puerta trasera Go llamada RooTroy (también conocida como Root Troy V4) para recopilar información del dispositivo, enumerar los procesos en ejecución, leer la carga útil de un archivo específico y descargar malware adicional (incluido RealTimeTroy) y ejecutarlo.
- RealTimeTroy, que usa el cargador Nimcore para lanzar GillyInjector, que luego inyecta una puerta trasera Go llamada RealTimeTroy que se comunica con un servidor externo mediante el protocolo WSS para leer y escribir archivos, obtener información de directorios y procesos, cargar/descargar archivos, finalizar un proceso específico y obtener información del dispositivo.
- SneakMain, que usa el cargador Nimcore para lanzar una carga útil de Nim llamada SneakMain para recibir y ejecutar comandos adicionales de AppleScript recibidos de un servidor externo.
- DownTroy v2, que usa un dropper llamado CoreKitAgent para lanzar Nimcore Loader, que luego lanza DownTroy (también conocido como NimDoor) basado en AppleScript para descargar un script malicioso adicional desde un servidor externo.
- SysPhon, que usa una versión ligera de RustBucket llamada SysPhon y CARGADOR DE AZÚCAR , un cargador conocido anteriormente por haber entregado el malware KANDYKORN. SysPhon, también empleado en Riesgo oculto campaign, es un descargador escrito en C++ que puede realizar reconocimientos y obtener una carga binaria de un servidor externo.
|
| Comportamiento general del sitio de suplantación de identidad de Zoom |
SilentSiphon está equipado para recopilar datos de Apple Notes, Telegram, extensiones de navegadores web, así como credenciales de navegadores y administradores de contraseñas, y secretos almacenados en archivos de configuración relacionados con una larga lista de servicios: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai Linode, VerbalOcean API, VerbalOcean API, Cel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp, SSH, FTP, Sui Blockchain, Solana, NEAR Blockchain, Aptos Blockchain, Algorand, Docker, Kubernetes y OpenAI.
«Si bien las transmisiones de vídeo de las llamadas falsas se grabaron a través de las páginas falsas de suplantación de identidad de Zoom que creó el actor, las imágenes de perfil de los participantes de la reunión parecen provenir de plataformas de trabajo o plataformas de redes sociales como LinkedIn, Crunchbase o X», afirma Kaspersky. «Curiosamente, algunas de estas imágenes se mejoraron con GPT-4o [OpenAI]».
La campaña GhostHire
La campaña de GhostHire, añadió la empresa rusa de ciberseguridad, también se remonta a mediados de 2023, cuando los atacantes iniciaron contacto con los objetivos directamente en Telegram y compartieron detalles de una oferta de trabajo junto con un enlace a un perfil de LinkedIn en el que se hacían pasar por reclutadores de empresas financieras con sede en los EE. UU., en un intento de dar a las conversaciones una apariencia de legitimidad.
«Tras la comunicación inicial, el actor añade el objetivo a la lista de usuarios de un bot de Telegram, que muestra el logotipo de la empresa suplantado y afirma falsamente que simplifica las evaluaciones técnicas de los candidatos», explica Kaspersky.
|
| Proceso de entrega de DownTroy en la campaña GhostHire |
«Luego, el bot envía a la víctima un archivo comprimido (ZIP) que contiene un proyecto de evaluación de la codificación, junto con un plazo estricto (a menudo alrededor de 30 minutos) para presionar al objetivo para que complete rápidamente la tarea. Esta urgencia aumenta la probabilidad de que el objetivo ejecute el contenido malintencionado, lo que lleva a comprometer inicialmente el sistema».
El proyecto en sí mismo es inocuo, pero incorpora una dependencia maliciosa en forma de un módulo Go malicioso alojado en GitHub (por ejemplo, uniroute), lo que provoca que la secuencia de infección se active una vez que se ejecuta el proyecto. Esto incluye determinar primero el sistema operativo del ordenador de la víctima y entregar una carga útil adecuada para la siguiente fase (es decir, DownTroy) programada en PowerShell (Windows), bash script (Linux) o AppleScript (macOS).
También se implementan mediante DownTroy en los ataques dirigidos a Windows RooTroy, RealTimeTroy, una versión Go de CosmicDoor y un cargador basado en Rust llamado Bof, que se usa para decodificar y lanzar una carga útil de código de shell cifrada almacenada en la carpeta "C:\Windows\system32\».
|
| Cadena general de infecciones de Windows en la campaña de GhostHire |
«Nuestra investigación indica un esfuerzo sostenido por parte del actor para desarrollar malware dirigido a los sistemas Windows y macOS, orquestado a través de una infraestructura unificada de comando y control», dijo Kaspersky. «El uso de la inteligencia artificial generativa ha acelerado significativamente este proceso, lo que ha permitido un desarrollo de malware más eficiente con una reducción de los gastos operativos».
«La estrategia de segmentación del actor ha evolucionado más allá del simple robo de criptomonedas y credenciales de navegador. Tras acceder a ellos, llevan a cabo una adquisición exhaustiva de datos en una amplia gama de activos, entre los que se incluyen la infraestructura, las herramientas de colaboración, las aplicaciones para tomar notas, los entornos de desarrollo y las plataformas de comunicación (mensajeros)».