GhostCall támadással céloztak észak-koreai hackerek macOS felhasználókat

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe
Beküldte kami911 -

Egy látszólag hétköznapi üzleti hívás vált rémálommá bizonyos macOS-felhasználók számára, amelyet vélhetően észak-koreai állami támogatású hackerek okoztak. Az elkövetők, akik a hírhedt Lazarus Group BlueNoroff nevű alcsoporthoz köthetők, egy megtévesztő „hanghiba” ürügyével kompromittálták a gyanútlan felhasználók számítógépét. A Daylight Security friss jelentése szerint ez a kifinomult social engineering támadás kriptovaluta-és pénzügyi szektorban dolgozó szakembereket céloz meg. A támadók üzenetküldő alkalmazásokon keresztül, (például Telegramon) léphetnek kapcsolatba áldozataikkal, magukat ügyfélnek vagy partnernek álcázva, majd Microsoft Teams videóhívásra csalogathatják őket.

A hívás során a támadó technikai problémát színlel azt állítva, hogy a beszélgetés során nem hallja az áldozatot és ezért a „hibaelhárítás” jegyében terminálparancsok futtatására utasítja, amelyek a letöltés során kártékony binárisokat hajtanak végre. A megtévesztett felhasználó így, egy rosszindulatú szkriptet illeszt be a terminálba, amely egy rendszer cache fájlnak álcázott kártékony kódot tölt le az alábbi ártalmatlannak tűnő elérési útvonalra:

/Library/Caches/com.apple.sys.receipt.

A támadók a rendszer beépített eszközeinek kihasználásával az úgynevezett „living off the land” technikákat alkalmazzák, hogy észrevétlenek maradhassanak. A letöltött fájlt azonnal futtathatóvá teszik (chmod 777), majd ad-hoc aláírással látják el, hogy az hitelesebbnek tűnjön a rendszer szemében. A művelet végső célja hitelesítő adatok eltulajdonítása, elsősorban a felhasználó Keychain adatbázisáé, amely jelszavakat és titkosított lemezképek adatait is tárolja MacOS rendszereken.

A kártevő ezen felül további rejtett komponenseket is futtathatott, többek között egy ideiglenes iCloud-szinkronizáló alkalmazás útvonalán elhelyezett fájlt, hogy a támadók biztosítsák tartós jelenlétüket. Ez az úgynevezett „GhostCall” taktika a BlueNoroff jellegzetes módszere, amikor azáltal, hogy a szöveges kommunikációt élő videóhívásra cseréltetik, fokozzák a pszichológiai nyomást, és csökkentik az áldozatok éberségét.

(forrás, forrás)