Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware GhostCall-Malware-Kampagne

GhostCall-Malware-Kampagne

Von Mezo in Malware
Übersetzen Sie in:

Cybersicherheitsforscher haben eine ausgeklügelte Kampagne aufgedeckt, die auf die Bereiche Web3 und Blockchain abzielt und unter dem Namen GhostCall geführt wird. Die Operation ist Teil der umfassenderen, mit Nordkorea in Verbindung stehenden Initiative SnatchCrypto, die mindestens seit 2017 aktiv ist. Die Bedrohung wird dem Subcluster BlueNoroff der Lazarus-Gruppe zugeschrieben, der auch unter verschiedenen Aliasnamen wie APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet und Stardust Chollima bekannt ist.

Opfer der Kampagne wurden auf zahlreichen macOS-Rechnern in Japan, Italien, Frankreich, Singapur, der Türkei, Spanien, Schweden, Indien und Hongkong identifiziert.

Ausgefeilte Social-Engineering- und Phishing-Techniken

GhostCall konzentriert sich vor allem auf macOS-Geräte von Führungskräften in Technologieunternehmen und Risikokapitalfirmen. Die Angreifer kontaktieren ihre Opfer direkt über Plattformen wie Telegram und laden sie zu Investitionsgesprächen ein, die auf gefälschten, Zoom-ähnlichen Webseiten stattfinden.

Wichtigste Aspekte des Angriffs:

  • Die Opfer nehmen an gefälschten Anrufen teil, die echte Aufnahmen anderer Opfer anstelle von Deepfakes enthalten.
  • Während des Anrufs werden die Nutzer über ein bösartiges Skript aufgefordert, Zoom oder Teams zu „aktualisieren“.
  • Das Skript lädt ZIP-Dateien herunter, die auf dem Wirt mehrstufige Infektionsketten auslösen.

Die Kampagne ist seit Mitte 2023 aktiv und folgte vermutlich der RustBucket-Kampagne, die den strategischen Kurswechsel der Gruppe hin zu macOS-spezifischen Angriffen markierte. Zu den daraufhin eingesetzten Malware-Familien gehören KANDYKORN, ObjCShellz und TodoSwift.

Irreführende gefälschte Zoom- und Teams-Seiten

Nutzer, die auf die GhostCall-Phishing-Seiten gelangen, sehen zunächst die Illusion eines Live-Anrufs, woraufhin kurz darauf eine Fehlermeldung erscheint. Diese fordert die Nutzer auf, ein Zoom- oder Teams-Softwareentwicklungskit (SDK) herunterzuladen, um den Anruf fortzusetzen.

  • Unter macOS lädt ein Klick auf „Jetzt aktualisieren“ ein schädliches AppleScript herunter.
  • Unter Windows nutzen Angreifer die ClickFix-Technik , um einen PowerShell-Befehl auszuführen.
  • Jede Interaktion mit der gefälschten Website wird protokolliert, sodass die Angreifer das Verhalten der Opfer überwachen können.

Die Kampagne wurde inzwischen von Zoom auf Microsoft Teams ausgeweitet, wobei Downloads des TeamsFx SDK genutzt wurden, um die Infektionskette fortzusetzen.

Schadsoftware und Infektionsketten

Unabhängig von der Plattform installiert das AppleScript gefälschte Zoom- oder Teams-Apps und lädt DownTroy herunter, das Passwörter aus Passwortmanagern ausliest und zusätzliche Schadsoftware mit Root-Rechten installiert. GhostCall nutzt acht verschiedene Angriffsketten, darunter:

ZoomClutch / TeamsClutch – Swift-basiertes Implantat, das sich als Zoom oder Teams ausgibt; fordert Systempasswörter zum Zweck der Datenexfiltration an.

DownTroy v1 – Go-basierter Dropper startet das AppleScript-basierte DownTroy, um zusätzliche Skripte herunterzuladen, bis der Computer neu gestartet wird.

CosmicDoor – C++ Loader (GillyInjector) injiziert eine Nim-Backdoor; kann Dateien destruktiv löschen; lädt SilentSiphon herunter.

RooTroy – Der Nimcore-Loader injiziert eine Go-Backdoor zur Geräteaufklärung und Malware-Ausführung.

RealTimeTroy – Der Nimcore-Loader injiziert eine Go-Backdoor; die Kommunikation erfolgt über das WSS-Protokoll zur Datei- und Systemsteuerung.

SneakMain – Nim-Payload, die über den Nimcore-Loader ausgeführt wird, um zusätzliche AppleScript-Befehle auszuführen.

DownTroy v2 – CoreKitAgent-Dropper startet das AppleScript-basierte DownTroy (NimDoor), um zusätzliche Skripte abzurufen.

SysPhon – C++-Downloader aus der RustBucket-Tradition; wird zur Aufklärung und zum Abruf von Binärdateien verwendet.

Darüber hinaus sammelt SilentSiphon sensible Daten von:

  • Apple Notes, Telegram, Browsererweiterungen, Passwortmanager
  • Entwickler- und Cloud-Plattformen: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, .NET NuGet, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
  • Blockchain-Plattformen: Sui, Solana, NEAR, Aptos, Algorand
  • Systemtools: Docker, Kubernetes, OpenAI

Aufklärung durch fingierte Treffen

Die Videoübertragungen der fingierten Meetings wurden von Angreifern aufgezeichnet, während die Profilbilder der Teilnehmer aus beruflichen Netzwerken wie LinkedIn, Crunchbase oder Twitter stammten. Einige Bilder wurden mithilfe von GPT-4o bearbeitet, um dem Social-Engineering-Trick mehr Realismus zu verleihen.

GhostCall verdeutlicht die Entwicklung von Cyberbedrohungen gegen Führungskräfte in Web3-Unternehmen und Risikokapitalgebern. Dabei werden fortgeschrittene Social-Engineering-Methoden, plattformübergreifende Malware und ausgefeilte Datenerfassungstechniken kombiniert. Wachsamkeit und mehrschichtige Verteidigungsstrategien sind unerlässlich, um diesen mit Nordkorea in Verbindung stehenden Kampagnen entgegenzuwirken.

Im Trend

Am häufigsten gesehen

Wird geladen...