GhostCall arranca con una fase de ingeniería social por Telegram, donde los atacantes suplantan a inversores reales para atraer a víctimas mediante invitaciones a falsas reuniones en plataformas simuladas de Zoom o Microsoft Teams. Aprovechando cuentas comprometidas y vídeos de víctimas previas, inducen a descargar una falsa actualización que despliega un script malicioso en macOS, iniciando una cadena nunca vista para robar credenciales, criptomonedas y datos de Telegram.
GhostHire, en paralelo, se hace pasar por reclutadores para contactar a desarrolladores blockchain, facilitando un archivo malicioso (ZIP/GitHub) como prueba técnica. Al ejecutarse en Windows o macOS, adapta la infección al entorno objetivo, reutilizando la infraestructura de mando y control con GhostCall. Destaca aquí la adopción de IA generativa para desarrollar nuevas funcionalidades de malware y evadir análisis.
El alcance global y la personalización de las campañas eleva el riesgo para organizaciones cripto, intensificando el robo de activos e información confidencial. La ingeniería social avanzada y el uso de IA dificulta la detección temprana y multiplica la propagación mediante ataques en cadena. La infiltración puede suponer pérdidas económicas notables y daño a la reputación corporativa.
Se recomienda extremar la verificación de identidad en comunicaciones por Telegram y correo, actualizar sistemas regularmente, desplegar soluciones antimalware actualizadas compatibles con macOS y Windows, y educar al personal sobre los riesgos de phishing y descargas no verificadas. Limitar los permisos en reuniones virtuales e implementar monitorización proactiva para detectar actividad anómala es crucial.
