Especialistas da Kaspersky Global Research and Analysis Team (GReAT) conversaram no Security Analyst Summit 2025 sobre as atividades do grupo de APT BlueNoroff, que acreditamos ser um subgrupo do Lazarus. Em particular, eles descreveram em detalhes duas campanhas direcionadas a desenvolvedores e executivos da ind\u00fastria de criptomoedas: GhostCall e GhostHire.<\/p>\n
Os agentes do BlueNoroff est\u00e3o interessados principalmente em ganhos financeiros e hoje preferem atacar funcion\u00e1rios de organiza\u00e7\u00f5es que trabalham com blockchain. Os alvos s\u00e3o escolhidos com cuidado: fica evidente que os atacantes se preparam muito para cada ataque. As campanhas GhostCall e GhostHire s\u00e3o muito diferentes entre si, mas dependem de uma infraestrutura de gerenciamento comum, raz\u00e3o pela qual nossos especialistas as combinaram em um \u00fanico relat\u00f3rio.<\/p>\n
A campanha GhostCall visa principalmente executivos de organiza\u00e7\u00f5es diversas. Os atacantes tentam infectar os computadores dessas empresas com malware projetado para roubar criptomoedas, credenciais e segredos com os quais as v\u00edtimas podem estar trabalhando. A principal plataforma em que os operadores do GhostCall est\u00e3o interessados \u00e9 o macOS, provavelmente porque os dispositivos Apple s\u00e3o bem populares entre diretores de empresas modernas.<\/p>\n
Os ataques do GhostCall come\u00e7am com uma engenharia social bastante sofisticada: os atacantes fingem ser investidores (\u00e0s vezes usando contas roubadas de empreendedores reais e at\u00e9 fragmentos de videochamadas aut\u00eanticas com eles) e tentam marcar uma reuni\u00e3o para discutir parcerias ou investimentos. O objetivo \u00e9 atrair a v\u00edtima para um site que imita o Microsoft Teams ou o Zoom. Uma armadilha padr\u00e3o os espera l\u00e1: o site exibe uma notifica\u00e7\u00e3o sobre a necessidade de atualizar o cliente ou corrigir algum problema t\u00e9cnico. Para fazer isso, a v\u00edtima \u00e9 convidada a baixar e executar um arquivo, o que leva \u00e0 infec\u00e7\u00e3o do computador.<\/p>\n
Detalhes sobre as v\u00e1rias cadeias de infec\u00e7\u00e3o (h\u00e1 pelo menos sete nesta campanha, quatro das quais nossos especialistas n\u00e3o haviam observado antes), junto com indicadores de comprometimento, podem ser encontrados na postagem do blog no site Securelist<\/a>.<\/p>\n GhostHire \u00e9 uma campanha direcionada a desenvolvedores que trabalham com blockchain. O objetivo final \u00e9 o mesmo: infectar computadores com malware, mas a manobra \u00e9 diferente. Nesse caso, os atacantes atraem as v\u00edtimas com ofertas de emprego com condi\u00e7\u00f5es favor\u00e1veis. Durante as negocia\u00e7\u00f5es, eles fornecem ao desenvolvedor o endere\u00e7o de um bot do Telegram, que fornece \u00e0 v\u00edtima um link para o GitHub com uma tarefa de teste ou oferece a op\u00e7\u00e3o para baix\u00e1-la em um arquivo compactado. Para evitar que o desenvolvedor tenha tempo para pensar, a tarefa tem um prazo bastante curto. Durante a execu\u00e7\u00e3o do teste, o computador da v\u00edtima \u00e9 infectado por malware.<\/p>\n As ferramentas usadas pelos atacantes na campanha do GhostHire e seus indicadores de comprometimento tamb\u00e9m podem ser encontrados na postagem do blog Securelist<\/a>.<\/p>\n Embora o GhostCall e o GhostHire tenham como alvo desenvolvedores e executivos espec\u00edficos, os atacantes est\u00e3o interessados principalmente na infraestrutura em funcionamento. Assim, a tarefa de prote\u00e7\u00e3o contra esses ataques recai sobre os especialistas em seguran\u00e7a de TI corporativa. Portanto, recomendamos:<\/p>\n Conscientizar periodicamente todos os funcion\u00e1rios da empresa sobre os truques usados pelos agressores modernos. O treinamento deve levar em conta a natureza do trabalho de especialistas espec\u00edficos, incluindo desenvolvedores e gerentes. Esse treinamento pode ser organizado usando uma plataforma on-line especializada, como Kaspersky Automated Security Awareness Platform<\/a>.<\/p>\nA campanha GhostHire<\/h2>\n
Como se proteger dos ataques GhostCall e GhostHire?<\/h2>\n