Lazarus Group’un uzun süredir devam eden işe alım cazibesi, taze kayıtlı Waventic’e demirlenen “Click Pake Röportajı” olarak yeniden ortaya çıktı.[.]Web sitesi ile.
Adaylar, sahte bir web kamerası “sürücü” indirmesiyle biten kaygan bir JavaScript formu ile ilerliyor ve aslında platformlar arası Golangghost kötü amaçlı yazılımlarını dikiyorlar.
Sekoia.io tehdit savunması araştırmacıları, operatörlerin ilk olarak Mart 2025’te profillenen “ClickFix” Web şablonunu geri dönüştürdüğünü, ancak şimdi gündelik taramayı caydırmak için coğrafi konum filtrelerini ve captcha’yı entegre ettiğini belirtti.
Analistler, Nisan ayından bu yana ortaya çıkan kırktan fazla refakat alanı izledi, tüm trafiği uygulamaya yöneltti[.]dalga[.]com Windows, Linux ve macOS için derlenmiş statik olarak bağlantılı bir Go Binary hizmet vermeden önce.
.webp)
Yenilenen sosyal mühendislik döngüsü, çalınan LinkedIn profillerini ve telgraf kanallarını meşru görünmek için kaldırır, ardından dosya aktarımını istemek için tarayıcı push-nicifications’ı kötüye kullanır.
Yürütüldükten sonra, Golangghost, TLS ile kaplı WebSocks üzerinden sabit kodlu C2 uç noktalarla hemen temas ederek, saniyeler içinde çalışan işlem süreçlerinin ve işletim sistemi seviyesi meta verilerin tam bir envanterini dışa aktarır.
Erken telemetri, ilk kurbanlar arasında Avrupa ve Güneydoğu Asya’da finans ve blockchain girişimlerini gösteriyor ve birkaç MacOS ARM64 ev sahibi zaten kimlik bilgisi tonozları sızdırıyor.
Müstakil bir GO yürütülebilir dosyası olarak verilen numune, genellikle iyi huylu yapı çıkışı olarak tedavi eden imza tabanlı antivirüs motorlarını atlar.
Enfeksiyon mekanizması
Lansmanda Golangghost, kullanıcı başına bir kopyayı işletim sistemine özgü Autostart dizinine bırakır ve “SYSDRVX %RAND %” adlı kalıcılık anahtarlarını kaydeder.
İkili’nin minimal ayak izi dinamik modül yüklemesinden kaynaklanır, çoğu yetenek Base64 kodlu GRPC blobları aracılığıyla talep üzerine getirilir.
Sandboxing sırasında kurtarılan aşağıdaki alıntı, eklenti paketini açan yükleyiciyi gösterir:-
blob, _ := base64.StdEncoding.DecodeString(pkg)
r, _ := zlib.NewReader(bytes.NewReader(blob))
io.Copy(os.TempDir()+"/"+modName, r)
cmd := exec.Command(os.TempDir()+"/"+modName, "-m", "init")
cmd.Start()Güvenlik ekipleri, kullanıcı profilinin dışındaki kabuk işlemlerini ortaya çıkaran yürütülebilir ürünler ve bayrak go yürütülebilir ürünler için giden WebSocket trafiğini izlemelidir.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.