Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Campagne de logiciels malveillants GhostCall

Campagne de logiciels malveillants GhostCall

Par Mezo en Logiciels malveillants
Se traduisent par :

Des chercheurs en cybersécurité ont mis au jour une campagne sophistiquée ciblant les secteurs du Web3 et de la blockchain, identifiée sous le nom de code GhostCall. Cette opération s'inscrit dans le cadre d'une initiative plus vaste, liée à la Corée du Nord et appelée SnatchCrypto, active depuis au moins 2017. La menace est attribuée au sous-groupe BlueNoroff, affilié au groupe Lazarus, également connu sous de nombreux pseudonymes, dont APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet et Stardust Chollima.

Des victimes de cette campagne ont été identifiées sur plusieurs systèmes macOS au Japon, en Italie, en France, à Singapour, en Turquie, en Espagne, en Suède, en Inde et à Hong Kong.

Techniques sophistiquées d’ingénierie sociale et d’hameçonnage

GhostCall cible principalement les appareils macOS des cadres d'entreprises technologiques et de sociétés de capital-risque. Les attaquants contactent directement leurs cibles via des plateformes comme Telegram, les invitant à des réunions d'investissement organisées sur des sites web frauduleux similaires à Zoom.

Principaux aspects de l'attaque :

  • Les victimes participent à de faux appels contenant de véritables enregistrements d'autres victimes au lieu de deepfakes.
  • Au cours de l'appel, les utilisateurs sont invités à « mettre à jour » Zoom ou Teams via un script malveillant.
  • Le script télécharge des fichiers ZIP qui initient des chaînes d'infection en plusieurs étapes sur l'hôte.

La campagne est active depuis mi-2023, probablement suite à l'attaque RustBucket, qui a marqué le tournant stratégique du groupe vers des attaques ciblant macOS. Parmi les familles de logiciels malveillants déployées par la suite figurent KANDYKORN, ObjCShellz et TodoSwift.

Pages Zoom et Teams trompeuses et contrefaites

Les personnes qui arrivent sur les pages d'hameçonnage de GhostCall voient d'abord l'illusion d'un appel en direct, ce qui déclenche rapidement un message d'erreur. Ce message les invite à télécharger un kit de développement logiciel (SDK) pour Zoom ou Teams afin de poursuivre l'appel.

  • Sous macOS, cliquer sur « Mettre à jour maintenant » télécharge un script AppleScript malveillant.
  • Sous Windows, les attaquants utilisent la technique ClickFix pour exécuter une commande PowerShell.
  • Chaque interaction avec le faux site est enregistrée, permettant aux attaquants de surveiller le comportement de leurs victimes.

Depuis, la campagne s'est étendue de Zoom à Microsoft Teams, utilisant les téléchargements du SDK TeamsFx pour poursuivre la chaîne d'infection.

Logiciels malveillants et chaînes d’infection

Quelle que soit la plateforme, le script AppleScript installe de fausses applications Zoom ou Teams et télécharge DownTroy, qui récupère les mots de passe des gestionnaires de mots de passe et installe des logiciels malveillants supplémentaires disposant des privilèges root. GhostCall exploite huit chaînes d'attaque distinctes, notamment :

ZoomClutch / TeamsClutch – Implant basé sur Swift se faisant passer pour Zoom ou Teams ; demande les mots de passe système pour l'exfiltration.

DownTroy v1 – Un programme d'installation basé sur Go lance DownTroy, basé sur AppleScript, pour télécharger des scripts supplémentaires jusqu'au redémarrage.

CosmicDoor – Chargeur C++ (GillyInjector) injecte une porte dérobée Nim ; capable d'effacer des fichiers de manière destructive ; télécharge SilentSiphon.

RooTroy – Le chargeur Nimcore injecte une porte dérobée Go pour la reconnaissance de l'appareil et l'exécution de logiciels malveillants.

RealTimeTroy – Chargeur Nimcore injecte une porte dérobée Go ; communique via le protocole WSS pour le contrôle des fichiers et du système.

SneakMain – Charge utile Nim exécutée via le chargeur Nimcore pour exécuter des commandes AppleScript supplémentaires.

DownTroy v2 – Le programme d'installation CoreKitAgent lance DownTroy (NimDoor), basé sur AppleScript, pour récupérer des scripts supplémentaires.

SysPhon – Téléchargeur C++ issu de la lignée de RustBucket ; utilisé pour la reconnaissance et la récupération de fichiers binaires.

De plus, SilentSiphon collecte des données sensibles provenant de :

  • Apple Notes, Telegram, extensions de navigateur web, gestionnaires de mots de passe
  • Plateformes de développement et cloud : GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, .NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
  • Plateformes blockchain : Sui, Solana, NEAR, Aptos, Algorand
  • Outils système : Docker, Kubernetes, OpenAI

Reconnaissance par le biais de réunions fabriquées de toutes pièces

Les flux vidéo des fausses réunions ont été enregistrés par les attaquants, tandis que les photos de profil des participants provenaient de réseaux professionnels tels que LinkedIn, Crunchbase ou Twitter. Certaines images ont été améliorées à l'aide de GPT-4o, ce qui a renforcé le réalisme de la supercherie.

GhostCall illustre l'évolution des cybermenaces ciblant les dirigeants du Web3 et du capital-risque, combinant ingénierie sociale avancée, logiciels malveillants multiplateformes et techniques sophistiquées de collecte de données. La vigilance et une défense multicouche sont essentielles pour contrer ces campagnes liées à la Corée du Nord.

Tendance

Arnaque au colis égaré de DHL Express

Hameçonnage, Courrier indésirable
Des chercheurs en cybersécurité ont mis en garde contre une campagne d'hameçonnage trompeuse connue sous le nom d'arnaque au colis DHL Express égaré. Ces courriels frauduleux se font passer pour des avis de livraison officiels prétendument envoyés par DHL. Ils incitent généralement le destinataire à vérifier son adresse ou à confirmer la livraison pour éviter que le colis ne soit égaré. En...

Le plus regardé

Chargement...