برنامج FERRET الخبيث

تم اكتشاف أن عملاء الإنترنت الكوريين الشماليين وراء حملة Contagious Interview يستخدمون سلالات من البرامج الضارة لنظام التشغيل macOS يطلق عليها مجتمعة FERRET تحت ستار عملية مقابلة عمل. يتم توجيه الأهداف غير المطلعة للتواصل مع المجند المفترض عبر رابط يولد رسالة خطأ، مما يدفعهم إلى تثبيت أو تحديث برامج مثل VCam أو CameraAccess للمضي قدمًا في المقابلة.

مقابلة معدية: جهود مستمرة للتجسس الإلكتروني

تم الكشف عن Contagious Interview لأول مرة في أواخر عام 2023، وهي تمثل حملة مستمرة تهدف إلى إصابة الضحايا من خلال حزم npm الخادعة والتطبيقات الأصلية التي تنتحل صفة برامج مؤتمرات الفيديو. وتستمر الحملة، التي يتم تتبعها أيضًا تحت أسماء مثل DeceptiveDevelopment وDEV#POPPER، في التطور، باستخدام تكتيكات متطورة بشكل متزايد.

إسقاط BeaverTail وInvisibleFerret

عادةً ما تؤدي سلسلة الهجمات إلى نشر BeaverTail، وهو برنامج ضار قائم على JavaScript مصمم لاستخراج البيانات الحساسة من المتصفحات ومحافظ العملات المشفرة. يعمل هذا البرنامج الضار أيضًا كآلية توصيل لحمولة إضافية - باب خلفي قائم على Python يُعرف باسم InvisibleFerret.

OtterCookie: طبقة أخرى من النشاط الضار

في ديسمبر 2024، حدد باحثو الأمن السيبراني من اليابان مكونًا آخر في سلسلة الهجوم: وهو نوع مختلف من البرامج الضارة يسمى OtterCookie . تم تكوين هذا البرنامج الضار JavaScript لجلب وتنفيذ حمولات ضارة إضافية، مما يؤدي إلى توسيع قدرات العدوى بشكل أكبر.

تحسين تكتيكات التهرب باستخدام الخداع على غرار ClickFix

عندما تم اكتشاف عائلة البرامج الضارة FERRET في نهاية عام 2024، لاحظ الباحثون أن المهاجمين كانوا يعملون على تحسين أساليبهم لتجنب الكشف بشكل أفضل. تتضمن إحدى التقنيات البارزة نهجًا على غرار ClickFix، حيث يخدعون المستخدمين لنسخ وتنفيذ أمر غير آمن في تطبيق macOS Terminal بحجة حل مشكلات الوصول إلى الكاميرا والميكروفون.

استهداف الباحثين عن عمل عبر LinkedIn

تبدأ المرحلة الأولية من هذه الهجمات غالبًا بالتواصل مع LinkedIn، حيث يتظاهر الجناة بأنهم مجندون. ويتمثل هدفهم الأساسي في إقناع الضحايا المحتملين بالخضوع لتقييم بالفيديو، مما يؤدي في النهاية إلى تثبيت باب خلفي قائم على Golang. هذا البرنامج الخبيث خبيث بشكل خاص، حيث تم تصميمه لاستنزاف أموال العملات المشفرة من محافظ MetaMask مع السماح للمهاجمين أيضًا بتنفيذ الأوامر على الجهاز المخترق.

تحليل مكونات برنامج FERRET الخبيث

تمكن الباحثون من تحديد العديد من المكونات المرتبطة بعائلة برمجيات FERRET الخبيثة، حيث يؤدي كل منها وظيفة مميزة في تسلسل الهجوم:

• FROSTYFERRET_UI: الحمولة في المرحلة الأولية، والتي غالبًا ما تكون مقنعة كتطبيقات ChromeUpdate أو CameraAccess.
• FRIENDLYFERRET_SECD: باب خلفي ثانوي قائم على Go يُعرف باسم "com.apple.secd"، وهو مرتبط سابقًا بحملة Hidden Risk التي تستهدف شركات العملات المشفرة.
• MULTI_FROSTYFERRET_CMDCODES: ملف تكوين Go يدعم وظيفة الباب الخلفي للمرحلة الثانية.

FlexibleFerret: إنشاء الثبات على macOS

تم اكتشاف مجموعة منفصلة من أدوات البرامج الضارة، والتي يشار إليها باسم FlexibleFerret. تركز هذه النسخة على الحفاظ على الثبات داخل نظام macOS المصاب من خلال استخدام LaunchAgent. يتم تسليم البرامج الضارة عبر حزمة تثبيت تسمى InstallerAlert، والتي تعكس وظائف 'FROSTYFERRET_UI.'

توسيع نطاق الهجمات ليشمل ما هو أبعد من الباحثين عن عمل

ورغم أن عينات FlexibleFerret تم توزيعها كحزم تثبيت من إنتاج شركة Apple، فإن الطريقة الدقيقة المستخدمة لإقناع الضحايا بتنفيذها تظل غير واضحة. ومع ذلك، تشير الأدلة إلى أن البرامج الضارة تنتشر أيضًا من خلال إنشاء مشكلات وهمية على مستودعات GitHub المشروعة. ويشير هذا التحول في التكتيكات إلى استراتيجية استهداف أوسع نطاقًا تمتد إلى ما هو أبعد من الباحثين عن عمل، وتستهدف المطورين وغيرهم من المهنيين داخل صناعة التكنولوجيا.

مع استمرار الجهات الفاعلة في مجال الإنترنت في كوريا الشمالية في تحسين أساليبها الخادعة، يحث خبراء الأمن على اليقظة الشديدة عند التعامل مع عروض العمل عبر الإنترنت ومطالبات تثبيت البرامج.