El señuelo de reclutamiento de larga duración del Grupo Lázaro ha resurgido como “Entrevista de clickfake”, anclada en el sitio de Waventic (.) COM recién registrado.
Los candidatos progresan a través de un formulario de JavaScript elegante que termina con una descarga falsa de “controlador”, en realidad plantando el malware Golangghost de plataforma multiplataforma.
Investigadores de defensa de amenazas sekoia.io anotado que los operadores reciclaron la plantilla web “ClickFix” perfilada por primera vez en marzo de 2025, pero ahora han integrado filtros de geolocalización y Captcha para disuadir el escaneo casual.
Los analistas rastrearon más de cuarenta dominios complementarios generados desde abril, todos los canalizando el tráfico para aplicar (.) Waventic (.) Com antes de servir a un binario de GO estática compilada para Windows, Linux y MacOS.
Sitio web de señores (fuente – Sekoia)
El bucle de ingeniería social revitalizado aprovecha los perfiles de LinkedIn robados y los canales de telegrama para que parezcan legítimos, luego abusa de las notas de empuje del navegador para solicitar la transferencia del archivo.
Una vez ejecutado, Golangghost se contacta inmediatamente con los puntos finales C2 codificados por los WebSockets envueltos en TLS, exportando un inventario completo de procesos de ejecución y metadatos a nivel de sistema operativo en cuestión de segundos.
La telemetría temprana muestra las nuevas empresas de finanzas y blockchain en Europa y el sudeste asiático entre las primeras víctimas, con varios anfitriones MacOS ARM64 que ya están filtrando bóvedas de credenciales.
Entregado como un ejecutable de GO autónomo, la muestra a menudo omite los motores antivirus basados en la firma que lo tratan como una salida de construcción benigna.
Mecanismo de infección
En el lanzamiento, Golangghost elimina una copia por usuario en el directorio de AutoStart específico del sistema operativo y registra las claves de persistencia llamadas “SySDRVX %rand %”.
La huella mínima del binario proviene de la carga de módulos dinámicos, la mayoría de las capacidades se obtienen a pedido a través de blobs GRPC codificados por Base64.
El siguiente extracto, recuperado durante el sandboxing, muestra que el cargador descomprime su paquete de complementos:-
blob, _: = base64.stdencoding.decodeString (pkg) r, _: = zlib.neweader (bytes.neweader (blob)) io.copy (os.tempdir ()+”/”+modnamn, r) cmd: = exec.command (OS.tempdir ()+”/”/”+”, “,”, “,”), “)”), “)”) ” cmd.start ()
Los equipos de seguridad deben monitorear el tráfico de WebSocket de salida a los dominios desconocidos y los procesos de desove de los ejecutables de los ejecutables fuera del perfil de usuario.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
