APT
Especialistas da Kaspersky Global Research and Analysis Team (GReAT) conversaram no Security Analyst Summit 2025 sobre as atividades do grupo de APT BlueNoroff, que acreditamos ser um subgrupo do Lazarus. Em particular, eles descreveram em detalhes duas campanhas direcionadas a desenvolvedores e executivos da indústria de criptomoedas: GhostCall e GhostHire.
Os agentes do BlueNoroff estão interessados principalmente em ganhos financeiros e hoje preferem atacar funcionários de organizações que trabalham com blockchain. Os alvos são escolhidos com cuidado: fica evidente que os atacantes se preparam muito para cada ataque. As campanhas GhostCall e GhostHire são muito diferentes entre si, mas dependem de uma infraestrutura de gerenciamento comum, razão pela qual nossos especialistas as combinaram em um único relatório.
A campanha GhostCall
A campanha GhostCall visa principalmente executivos de organizações diversas. Os atacantes tentam infectar os computadores dessas empresas com malware projetado para roubar criptomoedas, credenciais e segredos com os quais as vítimas podem estar trabalhando. A principal plataforma em que os operadores do GhostCall estão interessados é o macOS, provavelmente porque os dispositivos Apple são bem populares entre diretores de empresas modernas.
Os ataques do GhostCall começam com uma engenharia social bastante sofisticada: os atacantes fingem ser investidores (às vezes usando contas roubadas de empreendedores reais e até fragmentos de videochamadas autênticas com eles) e tentam marcar uma reunião para discutir parcerias ou investimentos. O objetivo é atrair a vítima para um site que imita o Microsoft Teams ou o Zoom. Uma armadilha padrão os espera lá: o site exibe uma notificação sobre a necessidade de atualizar o cliente ou corrigir algum problema técnico. Para fazer isso, a vítima é convidada a baixar e executar um arquivo, o que leva à infecção do computador.
Detalhes sobre as várias cadeias de infecção (há pelo menos sete nesta campanha, quatro das quais nossos especialistas não haviam observado antes), junto com indicadores de comprometimento, podem ser encontrados na postagem do blog no site Securelist.
A campanha GhostHire
GhostHire é uma campanha direcionada a desenvolvedores que trabalham com blockchain. O objetivo final é o mesmo: infectar computadores com malware, mas a manobra é diferente. Nesse caso, os atacantes atraem as vítimas com ofertas de emprego com condições favoráveis. Durante as negociações, eles fornecem ao desenvolvedor o endereço de um bot do Telegram, que fornece à vítima um link para o GitHub com uma tarefa de teste ou oferece a opção para baixá-la em um arquivo compactado. Para evitar que o desenvolvedor tenha tempo para pensar, a tarefa tem um prazo bastante curto. Durante a execução do teste, o computador da vítima é infectado por malware.
As ferramentas usadas pelos atacantes na campanha do GhostHire e seus indicadores de comprometimento também podem ser encontrados na postagem do blog Securelist.
Como se proteger dos ataques GhostCall e GhostHire?
Embora o GhostCall e o GhostHire tenham como alvo desenvolvedores e executivos específicos, os atacantes estão interessados principalmente na infraestrutura em funcionamento. Assim, a tarefa de proteção contra esses ataques recai sobre os especialistas em segurança de TI corporativa. Portanto, recomendamos:
Conscientizar periodicamente todos os funcionários da empresa sobre os truques usados pelos agressores modernos. O treinamento deve levar em conta a natureza do trabalho de especialistas específicos, incluindo desenvolvedores e gerentes. Esse treinamento pode ser organizado usando uma plataforma on-line especializada, como Kaspersky Automated Security Awareness Platform.
Usar soluções de segurança modernas em todos os dispositivos corporativos que os funcionários usam para se comunicar com o mundo exterior.
Dicas