Исследователи «Лаборатории Касперского» сообщили о двух новых кампаниях группы BlueNoroff — GhostCall и GhostHire, наблюдаемых с апреля 2025 года. Под ударом — криптовалютные и Web3-компании в Индии, Турции, Австралии, а также в ряде стран Европы и Азии. Атакующие фокусируются на экосистеме macOS и комбинируют социальную инженерию с многоэтапной доставкой вредоносов.
BlueNoroff: подразделение Lazarus и эволюция SnatchCrypto
BlueNoroff считается частью северокорейского киберформирования Lazarus и продолжает расширять известную кампанию SnatchCrypto, нацеленную на организации, работающие с криптовалютами, смарт‑контрактами, DeFi‑сервисами, блокчейном и финтехом. По данным Kaspersky, группа последовательно смещает акцент на компрометацию разработчиков и руководителей блокчейн‑проектов, используя специализированные загрузчики и модульные вредоносы, ориентированные на кражу цифровых активов и доступа к инфраструктуре.
Социальная инженерия через Telegram и фальшивые звонки Zoom/Teams
Кампания стартует с точечного spear‑phishing: злоумышленники выходят на контакт в Telegram, выдавая себя за венчурных инвесторов. В отдельных случаях используются компрометированные аккаунты реальных предпринимателей, что повышает доверие. Жертв приглашают на «инвестиционные встречи» на поддельных страницах, имитирующих Zoom или Microsoft Teams. Во время инсценированных созвонов участникам предлагают «обновить клиент» для устранения проблем со звуком, что фактически инициирует загрузку скрипта и установку малвари.
Исследователи отмечают, что злоумышленники применяют видеовставки с участием предыдущих жертв, создавая иллюзию живого диалога и повышая конверсию атаки. Собранные у доверенных контактов данные затем используются для развития атаки по цепочке поставок, расширяя охват на партнеров и смежные организации.
GhostCall и GhostHire: общая инфраструктура, разные приманки
Обе кампании разделяют инфраструктуру и инструментарий, но различаются векторами первого контакта. В GhostCall исследователи зафиксировали семь многоэтапных цепочек заражения, четыре из которых ранее не описывались. Приоритетная цель — блокчейн‑разработчики: атакующие выступают «рекрутёрами», предлагают пройти «тестовое задание» и под этим предлогом вынуждают скачать и запустить репозиторий с GitHub, внутри которого скрыт вредоносный код.
В GhostHire вместо видеозвонков используются поддельные вакансии. После перехода по ссылке на Telegram‑бота кандидат получает ZIP‑архив либо ссылку на GitHub. Применяется типичная психологическая техника — искусственное давление по времени, чтобы жертва открыла файлы без должной проверки. В результате на macOS‑устройствах устанавливается малварь, ориентированная на кражу криптовалюты, секретов, а также учетных данных браузеров и Telegram.
Генеративный ИИ как ускоритель разработки вредоносов
По оценке Kaspersky GReAT, BlueNoroff активно задействует генеративный ИИ для ускорения R&D вредоносного ПО: внедряются новые языки программирования и дополнительные функции, что усложняет статический и поведенческий анализ. Это позволяет точнее подбирать цели, масштабировать кампании и оперативно менять тактики при обнаружении.
Практические меры защиты для крипто- и Web3-компаний
— Верифицируйте контрагента: подтверждайте личность «инвестора/рекрутера» по второму каналу и через официальные домены; игнорируйте ссылки на сторонние «видео‑митинги» и обновления клиента.
— Обновления и ПО — только из доверенных источников: используйте MDM/конфигурационные профили macOS для запрета установки неподписанных приложений и ограничьте установку софта источниками Apple/вендора.
— Разработчикам: выполняйте «тестовые задания» в одноразовых изолированных окружениях (контейнеры, виртуальные машины), с отключенными токенами и кошельками; применяйте принцип минимальных привилегий и секрет‑менеджмент.
— Усильте контроль коммуникаций: мониторинг ссылок в Telegram, блокировка фишинговых доменов Zoom/Teams, EDR/XDR с поведенческой аналитикой и телеметрией macOS.
— Защитите учетные записи и активы: аппаратные ключи FIDO2 для SSO, сегментация кошельков, многофакторная аутентификация, аудит отклонений в доступах и транзакциях.
Кампании GhostCall и GhostHire демонстрируют зрелую комбинацию социальной инженерии и технических приемов против macOS‑экосистемы и криптоиндустрии. По данным Kaspersky, злоумышленники повышают эффективность за счет генеративного ИИ и эксплуатации доверительных связей. Организациям в крипто- и Web3‑секторе следует пересмотреть процессы верификации собеседников, политику установки ПО, а также изоляцию сред для тестовых заданий и разработчиков. Чем раньше вы внедрите контроль источников, многоуровневую аутентификацию и поведенческую детекцию, тем ниже вероятность компрометации и потерь цифровых активов.
