Se ha observado que los actores de amenazas asociados con Corea del Norte apuntan a los sectores Web3 y blockchain como parte de dos campañas rastreadas como GhostCall y GhostHire.
Según Kaspersky, estas campañas son parte de una operación más amplia llamada SnatchCrypto que ha estado en curso desde al menos 2017. Se cree que esta actividad se debe a un subgrupo del grupo Lazarus llamado BlueNoroff, también conocido como APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet (anteriormente Copernicium) y Stardust Chollima.
Las víctimas de la campaña GhostCall abarcan múltiples hosts macOS infectados ubicados en Japón, Italia, Francia, Singapur, Turquía, España, Suecia, India y Hong Kong, aunque Japón y Australia han sido identificados como los principales cotos de caza para la campaña GhostHire.
«GhostCall se centra en los dispositivos macOS de ejecutivos de empresas tecnológicas y sectores de capital de riesgo al acercarse a los objetivos directamente a través de plataformas como Telegram e invitar a víctimas potenciales a reuniones relacionadas con inversiones vinculadas a sitios web de phishing como Zoom», dijo Kaspersky.
«Las víctimas participan en una llamada falsa utilizando grabaciones auténticas de otras víctimas reales de la amenaza, en lugar de deepfakes. La llamada se realiza sin problemas y solicita al usuario que actualice su cliente Zoom usando un script. Finalmente, el script descarga un archivo ZIP y la cadena de infección se implementa en los hosts infectados».
GhostHire, por otro lado, se acerca a objetivos potenciales, como desarrolladores Web3, en Telegram y los persuade para que descarguen y ejecuten un repositorio GitHub comprometido con el pretexto de completar una evaluación de habilidades dentro de los 30 minutos posteriores a compartir el enlace para aumentar la tasa de éxito de la infección.
Una vez instalado, este proyecto está diseñado para descargar una carga útil maliciosa al sistema del desarrollador según el sistema operativo que se utilice. La firma rusa de ciberseguridad dijo que ha estado monitoreando las dos campañas desde abril de 2025, pero se estima que GhostCall ha estado activo desde mediados de 2023, probablemente después de la campaña RustBucket.
RustBucket fue un punto de inflexión importante para los grupos hostiles dirigidos a sistemas macOS, y desde entonces otras campañas han aprovechado familias de malware como KANDYKORN, ObjCShellz y TodoSwift.
Vale la pena señalar que varios aspectos de esta actividad han sido ampliamente documentados durante el año pasado por múltiples proveedores de seguridad, incluidos Microsoft, Huntress, Field Effect, Huntabil.IT, Validin y SentinelOne.
Campaña de llamada fantasma
Los objetivos que visitan una página de Zoom falsa como parte de una campaña de GhostCall inicialmente verán una página falsa que parece ser una llamada en vivo, pero después de 3 a 5 segundos verán un mensaje de error que les pedirá que descarguen el kit de desarrollo de software (SDK) de Zoom para abordar supuestos problemas con la continuación de la llamada.
Si la víctima cae en la trampa e intenta actualizar el SDK haciendo clic en la opción «Actualizar ahora», se descargará un archivo AppleScript malicioso en el sistema. Si la víctima utiliza una máquina con Windows, el ataque aprovecha la técnica ClickFix para copiar y ejecutar comandos de PowerShell.
En cada etapa, todas las interacciones con el sitio falso se registran y se envían al atacante para rastrear el comportamiento de la víctima. El mes pasado, se observó que el mismo atacante pasaba de Zoom a Microsoft Teams, esta vez usando la misma táctica de engañar a los usuarios para que descargaran el SDK de TeamsFx y desencadenar una cadena de infección.
Independientemente del señuelo utilizado, AppleScript está diseñado para instalar aplicaciones falsas disfrazadas de Zoom o Microsoft Teams. También descarga otro AppleScript llamado DownTroy que verifica las contraseñas guardadas asociadas con aplicaciones de administración de contraseñas e instala malware adicional con privilegios de root.
DownTroy está diseñado para eludir el marco de Transparencia, Consentimiento y Control (TCC) de Apple y al mismo tiempo eliminar múltiples cargas útiles como parte de ocho cadenas de ataque diferentes.
ZoomClutch o TeamsClutch utiliza un implante basado en Swift que pretende ser Zoom o Teams e incluye la capacidad de solicitar a los usuarios su contraseña del sistema para completar las actualizaciones de la aplicación y filtrar detalles a un servidor externo. DownTroy v1 utiliza un cuentagotas basado en Go para iniciar el malware DownTroy basado en AppleScript, que descarga scripts adicionales de los servidores hasta que se reinicia la máquina. CosmicDoor utiliza un cargador binario de C++ llamado GillyInjector (también conocido como InjectWithDyld) para ejecutar una aplicación Mach-O benigna e inyectarle una carga útil maliciosa en tiempo de ejecución. Cuando se ejecuta con el indicador –d, GillyInjector habilita una funcionalidad destructiva y borra irrevocablemente todos los archivos en el directorio actual. La carga útil inyectada es una puerta trasera escrita en Nim llamada CosmicDoor que puede comunicarse con servidores externos para recibir y ejecutar comandos. Se cree que los atacantes desarrollaron primero una versión Go de CosmicDoor para Windows antes de pasar a las variantes Rust, Python y Nim. También descarga una suite de robo de scripts de bash llamada SilentSiphon. RooTroy utiliza el cargador Nimcore para iniciar GillyInjector, que luego inyecta una puerta trasera Go llamada RooTroy (también conocida como Root Troy V4) para recopilar información del dispositivo, enumerar procesos en ejecución, leer cargas útiles de archivos específicos y descargar y ejecutar malware adicional (incluido RealTimeTroy). Troya en tiempo real. Utiliza el cargador Nimcore para iniciar GillyInjector e inyectar una puerta trasera Go llamada RealTimeTroy. Esta puerta trasera se comunica con servidores externos utilizando el protocolo WSS para leer/escribir archivos, obtener información de directorio y proceso, cargar/descargar archivos, finalizar procesos específicos y obtener información del dispositivo. SneakMain: utiliza el cargador Nimcore para iniciar una carga útil de Nim llamada SneakMain para recibir y ejecutar comandos AppleScript adicionales recibidos desde un servidor externo. Abajo Troya v2. Utiliza un cuentagotas llamado CoreKitAgent para iniciar el cargador Nimcore, que luego inicia DownTroy basado en AppleScript (también conocido como NimDoor) para descargar scripts maliciosos adicionales desde servidores externos. SysPhon utiliza una versión ligera de RustBucket llamada SysPhon y SUGARLOADER, un cargador conocido por haber distribuido previamente malware KANDYKORN. SysPhon, que también aparece en la campaña Hidden Risk, es un programa de descarga escrito en C++ que puede realizar reconocimiento y recuperar cargas útiles binarias de servidores externos.
SilentSiphon tiene la capacidad de recopilar datos de Apple Notes, Telegram, extensiones de navegador web, credenciales de navegadores y administradores de contraseñas, y secretos almacenados en archivos de configuración relacionados con una larga lista de servicios: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust Cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle. Nube, Akamai Linode, DigitalOcean API, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp, SSH, FTP, Sui blockchain, Solana, NEAR blockchain, Aptos blockchain, Algorand, Docker, Kubernetes, OpenAI.
«El video de la llamada falsa fue grabado a través de una página de phishing de Zoom fabricada por los perpetradores, mientras que las imágenes de perfil de los participantes de la reunión parecen haber sido obtenidas de plataformas de reclutamiento y redes sociales como LinkedIn, Crunchbase y X», dijo Kaspersky. «Curiosamente, algunas de estas imágenes fueron mejoradas con (OpenAI) GPT-4o».
Campaña de contratación de fantasmas
La campaña de la empresa rusa de ciberseguridad GhostHire también se remonta a mediados de 2023, añadió, y los atacantes iniciaron contacto directo con los objetivos en Telegram, compartiendo detalles del trabajo y un enlace a un perfil de LinkedIn haciéndose pasar por un reclutador de una empresa financiera con sede en EE. UU., en un intento de dar una apariencia de legitimidad a la conversación.
«Al rastrear la comunicación inicial, el atacante agrega el objetivo a la lista de usuarios del bot de Telegram, que muestra el logotipo de la empresa falsificada y afirma falsamente que agiliza la evaluación técnica de los candidatos», explicó Kaspersky.
«Luego, el robot envía a la víctima un archivo (ZIP) que contiene el proyecto de evaluación de codificación con un plazo estricto (a menudo alrededor de 30 minutos), presionando al objetivo para que complete la tarea rápidamente. Esta urgencia aumenta la probabilidad de que el objetivo ejecute contenido malicioso, lo que lleva a un compromiso inicial del sistema».
Aunque el proyecto en sí es benigno, incluye una dependencia maliciosa en forma de un módulo Go malicioso (por ejemplo, uniroute) alojado en GitHub que desencadena una secuencia de infección cuando se ejecuta el proyecto. Esto implica primero identificar el sistema operativo de la computadora de la víctima y entregar la carga útil adecuada de la siguiente etapa (es decir, DownTroy) programada en PowerShell (Windows), bash script (Linux) o AppleScript (macOS).
El ataque dirigido a Windows también introdujo versiones Go de RooTroy, RealTimeTroy, CosmicDoor y un cargador basado en Rust llamado Bof, que se utiliza para decodificar y lanzar una carga útil de shellcode cifrada almacenada en la carpeta «C:\Windows\system32\», a través de DownTroy.
«Nuestra investigación muestra los esfuerzos continuos de este actor de amenazas para organizarse a través de una infraestructura integrada de comando y control y desarrollar malware dirigido a sistemas Windows y macOS», dijo Kaspersky. «El uso de IA generativa ha acelerado significativamente este proceso, permitiendo un desarrollo de malware más eficiente y al mismo tiempo reduciendo los gastos operativos».
«Las estrategias de ataque de los atacantes han evolucionado más allá de la simple criptomoneda o el robo de credenciales del navegador. Una vez que obtienen acceso, participan en una recopilación integral de datos en una variedad de activos, incluyendo infraestructura, herramientas de colaboración, aplicaciones para tomar notas, entornos de desarrollo y plataformas de comunicación (Messenger)».
Source link
