Otkrivena je sofisticirana maliciozna kampanja pod nazivom “GrassCall” koja posebno cilja na one koji traže posao obmanjujućim taktikama.
Kampanja, koja se pripisuje grupi prijetnji poznatoj kao Crazy Evil, aktivno je iskorištavala ranjivost lovaca na posao mamivši ih lažnim mogućnostima zapošljavanja oglašenih na istaknutim platformama uključujući LinkedIn i CryptoJobsList.
Ova novootkrivena prijetnja je operativna od početka 2025. godine, sa značajnim napadima dokumentovanim tokom februara koji su vodili do marta.
Metodologija napada koju koriste GrassCall operateri uključuje pristup u više faza dizajniran da izgleda legitimno za žrtve koje ništa ne sumnjaju.
Nakon inicijalnog kontakta u vezi sa navodnim mogućnostima zapošljavanja, mete se pozivaju da učestvuju u video intervjuima za nepostojeće pozicije.
Napadači zatim upućuju žrtve da preuzmu ono što tvrde da je specijalizovani softver za video konferencije pod nazivom “GrassCall” kako bi nastavili s procesom intervjua.
Ova taktika socijalnog inženjeringa efektivno zaobilazi početnu sumnju ugrađujući malicioznu aktivnost u kontekst koji se čini prirodnim za osobe koje traže posao željne da unaprijede svoje izglede za zapošljavanje.
Nakon instalacije, maliciozni softver koristi različita opterećenja u zavisnosti od operativnog sistema žrtve. Korisnici Windowsa dobijaju prilagođenu varijantu infostealer-a posebno dizajniranu za izdvajanje osjetljivih informacija, dok korisnici macOS-a ciljaju AMOS Stealer.
Sveobuhvatne mogućnosti eksfiltracije podataka ovih korisnih tereta predstavljaju značajnu prijetnju ličnoj i finansijskoj sigurnosti.
Posljedice infekcije su ozbiljne, sa malicioznim softverom koji je programiran za prikupljanje autentifikacijskih kolačića, spremljenih kredencijala iz pretraživača, informacija o novčaniku kriptovaluta i dodatnih osjetljivih podataka koji mogu dovesti do krađe identiteta i finansijskih gubitaka.
Analitičari sajber sigurnosti u BroadCom-u su primijetili da maliciozni softver koristi sofisticirane tehnike izbjegavanja kako bi ostao neotkriven dok prenosi ukradene informacije na komandne i kontrolne servere kojima upravljaju akteri prijetnje.
Obavještajni izvještaji pokazuju da su hakeri nedavno razvili svoju kampanju, rebrendirajući svoj maliciozni softver u “VibeCall” uz zadržavanje sličnih taktičkih pristupa.
Ova prilagodba sugeriše da kampanja napada ostaje aktivna i profitabilna za kriminalne operatere, što zahtijeva kontinuiranu budnost onih koji traže posao.
Tehnički detalji i mjere zaštite
GrassCall maliciozni softver koristi napredne mehanizme postojanosti za održavanje pristupa kompromitovanim sistemima.
Po izvršenju, maliciozni softver kreira unose u registratoru kako bi osigurao da se automatski pokreće kada se sistem pokrene, uspostavljajući uporište koje traje kroz ponovno pokretanje sistema.
Windows varijanta koristi PowerShell skripte za onemogućavanje sigurnosnih funkcija i izdvajanje podataka o kredencijalima iz različitih pretraživača uključujući Chrome, Firefox i Edge.
U međuvremenu, macOS varijanta koristi AppleScript da zaobiđe zaštitu Gatekeeper-a i dobije pristup osjetljivim područjima operativnog sistema.
Firma za sajber sigurnost Symantec implementirala je mjere zaštite od ove prijetnje kroz više sigurnosnih proizvoda.
Njihova zaštita zasnovana na čađi oslanja se na politike koje blokiraju izvršavanje svih kategorija malicioznog softvera, uključujući one klasifikovane kao poznati, sumnjivi i potencijalno neželjeni programi (PUP).
Zaštitni mehanizam takođe uključuje funkciju odloženog izvršenja koja koristi mogućnosti skeniranja u cloud-u kako bi se maksimizirala efikasnost usluga reputacije VMware Carbon Black Cloud u identifikaciji i blokiranju malicioznih komponenti.
Zaštita zasnovana na fajlovima identifikuje pretnju pod različitim potpisima, uključujući OSX.Trojan.Gen za macOS sisteme i Trojan.Gen.MBT i WS.Malware.1 za Windows platforme.
Dodatno, zaštita zasnovana na webu pokriva uočene maliciozne domene i IP adrese kroz sigurnosne kategorije implementirane u proizvode s omogućenim WebPulseom, pomažući da se spriječi početna infekcija blokiranjem komunikacije sa komandnom i kontrolnom infrastrukturom.
Izvor: CyberSecurityNews