Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер за Mac FERRET Зловреден софтуер

FERRET Зловреден софтуер

До Mezo през Зловреден софтуер за Macг
Превод на:
български език

Севернокорейски кибероператори, които стоят зад кампанията Contagious Interview, бяха открити да внедряват щамове злонамерен софтуер на macOS, общо наричани FERRET, под прикритието на процес на интервю за работа. Нищо неподозиращите цели са накарани да комуникират с предполагаем вербовчик чрез връзка, която генерира съобщение за грешка, което ги подканва да инсталират или актуализират софтуер като VCam или CameraAccess, за да продължат с интервюто.

Заразно интервю: Постоянно усилие за кибершпионаж

Първоначално разкрито в края на 2023 г., заразното интервю представлява продължителна кампания, насочена към заразяване на жертвите чрез измамни npm пакети и родни приложения, които се представят за софтуер за видеоконферентна връзка. Кампанията, също така проследявана под имена като DeceptiveDevelopment и DEV#POPPER, продължава да се развива, използвайки все по-сложни тактики.

Отпадане на BeaverTail и InvisibleFerret

Последователността на атаката обикновено води до внедряването на BeaverTail, базиран на JavaScript зловреден софтуер, предназначен да извлича чувствителни данни от браузъри и портфейли за криптовалута. Този злонамерен софтуер също действа като механизъм за доставка на допълнителен полезен товар - базирана на Python задна врата, известна като InvisibleFerret.

OtterCookie: Друго ниво на вредна дейност

През декември 2024 г. изследователи на киберсигурността от Япония идентифицираха друг компонент във веригата на атаката: вариант на зловреден софтуер, наречен OtterCookie . Този зловреден софтуер на JavaScript е конфигуриран да извлича и изпълнява допълнителни вредни полезни товари, като допълнително разширява възможностите на инфекцията.

Усъвършенстване на тактиката за укриване с измама в стил ClickFix

Когато семейството на зловреден софтуер FERRET беше открито към края на 2024 г., изследователите отбелязаха, че нападателите усъвършенстват методите си, за да избегнат по-добре откриването. Една забележителна техника включва подход в стил ClickFix, подмамвайки потребителите да копират и изпълнят опасна команда в приложението macOS Terminal под претекст, че разрешават проблеми с достъпа до камерата и микрофона.

Насочване към търсещи работа чрез LinkedIn

Първоначалната фаза на тези атаки често започва с обхвата на LinkedIn, където участниците в заплахата се представят за вербовчици. Тяхната основна цел е да убедят потенциалните жертви да се подложат на видео оценка, която в крайна сметка води до инсталирането на базирана на Golang задна врата. Този зловреден софтуер е особено коварен, предназначен да източва средства в криптовалута от MetaMask Wallets, като същевременно позволява на нападателите да изпълняват команди на компрометираното устройство.

Разбиване на компонентите на зловреден софтуер на FERRET

Изследователите са идентифицирали няколко компонента, свързани с фамилията зловреден софтуер FERRET, всеки от които изпълнява отделна функция в последователността на атаката:

  • FROSTYFERRET_UI: Полезният товар в началния етап, често маскиран като приложения на ChromeUpdate или CameraAccess.
  • FRIENDLYFERRET_SECD: Вторична задна вратичка, базирана на Go, известна като „com.apple.secd“, преди това свързана с кампанията Hidden Risk, насочена към бизнеса с криптовалута.
  • MULTI_FROSTYFERRET_CMDCODES: Конфигурационен файл на Go, поддържащ втория етап на функцията за задна врата.

FlexibleFerret: Установяване на устойчивост на macOS

Открит е и отделен набор от артефакти на зловреден софтуер, наричан FlexibleFerret. Този вариант се фокусира върху поддържането на устойчивост в рамките на заразена macOS система чрез използването на LaunchAgent. Зловреден софтуер се доставя чрез инсталационен пакет с име InstallerAlert, отразяващ функционалността на „FROSTYFERRET_UI“.

Разширяване на векторите на атаки отвъд търсещите работа

Въпреки че образците на FlexibleFerret бяха разпространени като пакети на Apple Installer, точният метод, използван за убеждаване на жертвите да ги екзекутират, остава неясен. Доказателствата обаче сочат, че зловредният софтуер се разпространява и чрез създаване на фалшиви проблеми в легитимни хранилища на GitHub. Тази промяна в тактиката сигнализира за по-широка стратегия за насочване, която се простира отвъд търсещите работа, насочена към разработчици и други професионалисти в технологичната индустрия.

Докато севернокорейските кибер актьори продължават да усъвършенстват своите измамни методи, експертите по сигурността призовават за повишена бдителност, когато се занимавате с онлайн предложения за работа и подкани за инсталиране на софтуер.

Тенденция

American Express - измама с имейл с неразпозната...

Фишинг, Спам
В един прогресивно дигитален свят бдителността е ключова за защитата на личната и финансова информация. Тактиките за фишинг са преобладаваща онлайн заплаха, предназначена да използва доверието на потребителите и да открадне чувствителни данни. Сред тях като забележителен пример се появи имейл измамата с неразпозната транзакция на American Express. Чрез изследване на тактиката зад тази измама и...

Най-гледан

Зареждане...