Izvor: Advertiser-Serbia.com, 31.Okt.2025, 14:59

BlueNoroff cilja rukovodioce na Windows i macOS sistemima koristeći alate zasnovane na veštačkoj inteligenciji

Ove operacije, koje su još uvek u toku, ciljaju Web3 i kripto organizacije u Indiji, Turskoj, Australiji i drugim zemljama Evrope i Azije od aprila 2025. godine.

BlueNoroff, podgrupa ozloglašene Lazarus grupe, nastavlja da širi svoju poznatu kampanju „SnatchCrypto“, finansijski motivisanu operaciju usmerenu na globalnu kripto industriju. Nove kampanje GhostCall i GhostHire koriste nove tehnike infiltracije i prilagođeni >> Pročitaj celu vest na sajtu Advertiser-Serbia.com << malver kako bi kompromitovale blokčejn developere i rukovodioce. Napadi ciljaju macOS i Windows sisteme i upravljani su putem ujedinjene komandno-kontrolne infrastrukture.

Kampanja „GhostCall“

Kampanja GhostCall fokusira se na macOS uređaje i započinje sofisticiranim i personalizovanim napadom zasnovanom na društvenom inženjeringu. Napadači stupaju u kontakt putem Telegrama, predstavljajući se kao investitori, a ponekad koriste i kompromitovane naloge stvarnih preduzetnika i osnivača startapa kako bi promovisali lažne investicione ili partnerske ponude. Žrtve se pozivaju na lažne investicione sastanke putem fišing sajtova koji imitiraju Zoom ili Microsoft Teams, gde im se tokom razgovora sugeriše da izvrše ažuriranje da bi rešili „problem sa zvukom“. To ažuriranje zapravo preuzima malicioznu skriptu i instalira malver na uređaj.

„Ova kampanja se oslanjala na pažljivo planiranu obmanu. Napadači su reprodukovali video snimke prethodnih žrtava tokom insceniranih sastanaka kako bi interakcija izgledala kao pravi poziv i tako manipulisali novim metama. Prikupljeni podaci se koriste ne samo protiv početne žrtve, već i za naredne i lančane napade, korišćenjem postojećih odnosa poverenja radi kompromitovanja šireg kruga organizacija i korisnika,“ objašnjava Sojun Ryu, istraživač bezbednosti u Kaspersky GReAT timu.

Napadači su koristili sedam višestepenih lanaca izvršavanja, od kojih su četiri bila nepoznata do sada, kako bi distribuirali razne nove prilagođene malvere, uključujući kripto-kradljivce, kradljivce lozinki iz browsera, alatke za krađu tajnih podataka i krađu Telegram kredencijala.

Kampanja „GhostHire“

U kampanji GhostHire, APT grupa cilja blokčejn developere predstavljajući se kao regruteri. Žrtve se navode da preuzmu i pokrenu GitHub repozitorijum koji sadrži malver, predstavljen kao test veština. GhostHire koristi istovetnu infrastrukturu i alate kao GhostCall, ali umesto video poziva, fokusira se na direktan pristup developerima i inženjerima putem lažnih oglasa za posao. Nakon inicijalnog kontakta, žrtve se dodaju u Telegram bot koji im isporučuje ZIP fajl ili GitHub link, uz kratak rok za završetak zadatka. Kada se fajl pokrene, malver se automatski instalira na žrtvin računar, prilagođen njenom operativnom sistemu.

Upotreba veštačke inteligencije

Korišćenje generativne veštačke inteligencije (AI) omogućilo je BlueNoroff grupi da ubrzano razvija malver i unapredi svoje napadne tehnike. Napadači su uveli nove programske jezike i dodatne funkcionalnosti, što otežava otkrivanje i analizu napada. AI takođe omogućava veću kontrolu i širenje operacija, povećavajući i složenost i obim napada.

„Od prethodnih kampanja, strategija napadača se razvila izvan jednostavne krađe kriptovaluta i lozinki iz browsera. Upotreba generativne AI značajno je ubrzala taj proces, omogućavajući brži razvoj malvera uz manji operativni trošak. Ovaj pristup zasnovan na AI pomaže u popunjavanju praznina u dostupnim informacijama i omogućava preciznije ciljanje. Kombinovanjem kompromitovanih podataka sa analitičkim mogućnostima AI, obim ovih napada se proširio. Nadamo se da će naše istraživanje doprineti sprečavanju daljih šteta.“ izjavio je Omar Amin, viši istraživač bezbednosti u Kaspersky GReAT timu.

Više informacija, uključujući i indikatore kompromitacije, dostupno je na Securelist.com.

Preporuke za zaštitu od kampanja kao što su GhostCall i GhostHire:

Naslovna fotografija: Kampanja „GhostCall“

Prijavite se za Advertiser Serbia Daily Newsletter

Nastavak na Advertiser-Serbia.com...






Napomena: Ova vest je automatizovano (softverski) preuzeta sa sajta Advertiser-Serbia.com. Nije preneta ručno, niti proverena od strane uredništva portala "Vesti.rs", već je preneta automatski, računajući na savesnost i dobru nameru sajta Advertiser-Serbia.com. Ukoliko vest (članak) sadrži netačne navode, vređa nekog, ili krši nečija autorska prava - molimo Vas da nas o tome ODMAH obavestite obavestite kako bismo uklonili sporni sadržaj.