Основы Интернет - технологий.

Специалисты «Лаборатории Касперского» рассказали о новых целевых атаках группы BlueNoroff. Вредоносные кампании GhostCall и GhostHire фиксируются с апреля 2025 года, а их целями стали криптовалютные и Web3-организации в Индии, Турции, Австралии и других странах Европы и Азии. Исследователи пишут, что BlueNoroff (часть северокорейской хак-группы Lazarus) продолжает расширять кампанию SnatchCrypto. Она нацелена на организации, которые работают с криптовалютами, смарт-контрактами, сервисами DeFi, блокчейном и финтех-индустрией. В GhostCall и GhostHire для компрометации разработчиков и руководителей блокчейн-проектов применяются новые методы проникновения и специализированная малварь. GhostCall Кампания направлена на устройства, работающие под управлением macOS, и начинается со сложной персонализированной атаки с использованием социальной инженерии. Злоумышленники связываются с жертвами через Telegram, выдавая себя за венчурных инвесторов. В некоторых случаях они используют взломанные учетные записи реальных предпринимателей и основателей стартапов. Жертв приглашают на поддельные встречи по инвестициям на фишинговых сайтах, имитирующих Zoom или Microsoft Teams. В ходе таких встреч пользователям предлагается якобы обновить клиентское приложение для устранения проблемы со звуком. На самом деле это приводит к загрузке вредоносного скрипта и заражению устройства малварью. «Кампания была построена на тщательно спланированном обмане. Злоумышленники включали во время инсценированных встреч видео, записанные с участием предыдущих жертв, чтобы они были похожи на реальный созвон. Таким образом они манипулировали новыми потенциальными жертвами. Собранные данные применялись не только против первоначальной жертвы, но и в атаках на цепочку поставок. Атакующие использовали установленные доверительные отношения для компрометации более широкого круга организаций и пользователей», — рассказывает Соджун Рю (Sojun Ryu), эксперт Kaspersky GReAT. В рамках GhostCall злоумышленники распространяли новые вредоносы, в том числе программы для кражи криптовалюты, секретных данных, учетных данных браузера и Telegram, через семь многоэтапных цепочек атак, четыре из которых ранее не были известны специалистам. GhostHire Эта кампания нацелена на блокчейн-разработчиков: злоумышленники входят к ним в доверие под видом рекрутеров. Жертв обманом (под видом теста на оценку навыков) вынуждают скачать и запустить репозиторий с GitHub, внутри которого скрывается малварь. У кампаний GhostHire и GhostCall общая инфраструктура и инструменты, но в GhostHire злоумышленники используют не видеозвонки, а поддельные объявления о найме. Если жертва подключается к Telegram-боту, ссылка на который указана в объявлении, она получает файл ZIP или ссылку на GitHub. Отмечается, что злоумышленники искусственно торопят разработчика быстрее открыть полученные файлы, давая мало времени для выполнения задания. Но жертва попадается на удочку хакеров, на ее устройство будет установлена малварь. Эксперты рассказывают, что использование генеративного ИИ позволяет BlueNoroff ускорять разработку вредоносного ПО и усовершенствовать свои техники атак и их масштабы. К примеру, злоумышленники внедрили новые языки программирования и добавили дополнительные функции, что усложнило процесс обнаружения и анализа. «В отличие от предыдущих кампаний, на этот раз атакующие не просто крадут криптовалюту и учетные данные браузера. Генеративный ИИ дает злоумышленникам возможность быстрее получать и анализировать нужную информацию, а в результате нацеливаться более точно и расширять масштаб атак. Мы надеемся, что наше исследование поможет предотвратить дальнейший ущерб», — говорит Омар Амин (Omar Amin), старший эксперт Kaspersky GReAT.