Researchers Expose GhostCall and GhostHire: BlueNoroffs New Malware Chains

Campagnes Ciblées du Groupe BlueNoroff

Des acteurs malveillants associés à la Corée du Nord déploient des campagnes sophistiquées, baptisées GhostCall et GhostHire, visant spécifiquement le secteur du Web3 et de la blockchain. Ces opérations font partie d’une initiative plus large, SnatchCrypto, active depuis 2017 et attribuée à BlueNoroff, une branche du groupe Lazarus. Les victimes potentielles sont principalement situées au Japon, en Italie, en France, à Singapour, en Turquie, en Espagne, en Suède, en Inde, à Hong Kong et en Australie.

Points Clés :

• GhostCall cible les dirigeants d’entreprises technologiques et du capital-risque via des plateformes comme Telegram. Les victimes sont invitées à des réunions d’investissement sur de faux sites web ressemblant à Zoom. Une fois sur la plateforme, un script est téléchargé pour mettre à jour un faux client Zoom, entraînant l’infection. L’acteur a récemment adapté cette tactique pour utiliser Microsoft Teams.
• GhostHire recrute des développeurs Web3 via Telegram, les incitant à télécharger et exécuter des dépôts GitHub piégés sous le prétexte d’une évaluation de compétences rapide. L’urgence induite par un délai court maximise les chances de succès de l’infection.
• Les deux campagnes ont pivoté vers des systèmes macOS, suite à des campagnes antérieures comme RustBucket.
• L’utilisation de l’IA générative accélère le développement de malwares par les attaquants.
• Les attaquants ne se contentent plus de voler des cryptomonnaies et des identifiants de navigateur, mais cherchent à collecter un large éventail de données sur les infrastructures, les outils de collaboration, les environnements de développement et les plateformes de communication.

Vulnérabilités et Vecteurs d’Attaque :

L’article ne mentionne pas de CVE spécifiques, mais décrit les techniques d’ingénierie sociale et d’exploitation :

• Ingénierie sociale via Telegram et de faux sites web : Les victimes sont trompées par des invitations à des réunions ou des offres d’emploi frauduleuses.
• Faux mises à jour logicielles : Téléchargement de faux kits de développement logiciel (SDK) pour Zoom ou Microsoft Teams, dissimulant des scripts malveillants.
• Dépôts GitHub piégés : Utilisation de dépendances malveillantes dans des projets de développement pour déclencher l’infection.
• Utilisation de scripts et de charge utile multiplateforme : Des AppleScripts, des scripts PowerShell et des scripts bash sont employés pour cibler différents systèmes d’exploitation.
• Contournement des protections : Les malwares sont conçus pour contourner le framework TCC d’Apple.
• Injection de code : Utilisation d’outils comme GillyInjector pour injecter des charges utiles malveillantes dans des applications légitimes.

Recommandations :

• Vigilance accrue : Soyez extrêmement prudent face aux demandes d’invitations à des réunions ou des offres d’emploi non sollicitées, surtout si elles proviennent de plateformes comme Telegram.
• Vérification des sources : Confirmez toujours la légitimité des liens de téléchargement, des demandes de mise à jour logicielle et des dépôts de code. Privilégiez les sources officielles.
• Sensibilisation à la sécurité : Formez les employés aux techniques d’hameçonnage et d’ingénierie sociale.
• Mises à jour de sécurité : Maintenez vos systèmes d’exploitation et vos logiciels (y compris les applications de communication comme Zoom et Teams) à jour avec les derniers correctifs de sécurité.
• Solutions de sécurité : Mettez en œuvre des solutions de sécurité robustes, incluant des antivirus et des systèmes de détection d’intrusion.
• Gestion des identifiants : Utilisez des gestionnaires de mots de passe et activez l’authentification multifacteur lorsque cela est possible.
• Surveillance des systèmes : Surveillez attentivement les journaux système et les activités réseau suspectes.

Source