Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós per a Mac Programari maliciós FERRET

Programari maliciós FERRET

El Mezo el Programari maliciós per a Mac
Traduir a:
Català

S'han trobat ciberoperatius de Corea del Nord darrere de la campanya Contagious Interview desplegant soques de programari maliciós de macOS anomenades col·lectivament FERRET sota l'aparença d'un procés d'entrevista de feina. Els objectius insospitats són conduïts a comunicar-se amb un suposat reclutador mitjançant un enllaç que genera un missatge d'error, que els demana que instal·lin o actualitzin programari com VCam o CameraAccess per continuar amb l'entrevista.

Entrevista contagiosa: un esforç persistent d’espionatge cibernètic

Inicialment descoberta a finals de 2023, l'entrevista contagiosa representa una campanya sostinguda destinada a infectar víctimes mitjançant paquets npm enganyosos i aplicacions natives que es plantegen com a programari de videoconferència. La campanya, també rastrejada amb noms com DeceptiveDevelopment i DEV#POPPER, continua evolucionant, utilitzant tàctiques cada cop més sofisticades.

Deixant caure BeaverTail i InvisibleFerret

La seqüència d'atac normalment dóna lloc al desplegament de BeaverTail, un programari maliciós basat en JavaScript dissenyat per extreure dades sensibles dels navegadors i carteres de criptomoneda. Aquest programari maliciós també actua com a mecanisme de lliurament d'una càrrega útil addicional: una porta posterior basada en Python coneguda com a InvisibleFerret.

OtterCookie: una altra capa d’activitat nociva

El desembre de 2024, investigadors de ciberseguretat del Japó van identificar un altre component de la cadena d'atac: una variant de programari maliciós anomenada OtterCookie . Aquest programari maliciós JavaScript està configurat per obtenir i executar càrregues útils addicionals perjudicials, ampliant encara més les capacitats de la infecció.

Perfeccionant les tàctiques d’evasió amb l’engany a l’estil ClickFix

Quan es va descobrir la família de programari maliciós FERRET a finals de 2024, els investigadors van assenyalar que els atacants estaven perfeccionant els seus mètodes per evadir millor la detecció. Una tècnica notable consisteix en un enfocament a l'estil ClickFix, enganyant els usuaris perquè copien i executin una ordre no segura a l'aplicació macOS Terminal amb el pretext de resoldre problemes d'accés a la càmera i al micròfon.

Orientació a persones que cerquen feina a través de LinkedIn

La fase inicial d'aquests atacs sovint comença amb la divulgació de LinkedIn, on els actors de l'amenaça es presenten com a reclutadors. El seu objectiu principal és persuadir les víctimes potencials perquè es sotmetin a una avaluació de vídeo, que finalment condueix a la instal·lació d'una porta del darrere basada en Golang. Aquest programari maliciós és particularment insidios, dissenyat per drenar els fons de criptomoneda de MetaMask Wallets alhora que permet als atacants executar ordres al dispositiu compromès.

Desglossament dels components del programari maliciós FERRET

Els investigadors han identificat diversos components associats a la família de programari maliciós FERRET, cadascun d'ells amb una funció diferent en la seqüència d'atac:

  • FROSTYFERRET_UI: la càrrega útil de l'etapa inicial, sovint disfressada d'aplicacions ChromeUpdate o CameraAccess.
  • FRIENDLYFERRET_SECD: una porta posterior secundària basada en Go coneguda com a "com.apple.secd", vinculada anteriorment a la campanya Hidden Risk dirigida a empreses de criptomoneda.
  • MULTI_FROSTYFERRET_CMDCODES: un fitxer de configuració Go que admet la funcionalitat de la porta posterior de la segona fase.

FlexibleFerret: establiment de la persistència a macOS

També s'ha descobert un conjunt separat d'artefactes de programari maliciós, anomenat FlexibleFerret. Aquesta variant se centra a mantenir la persistència dins d'un sistema macOS infectat mitjançant l'ús d'un LaunchAgent. El programari maliciós es lliura mitjançant un paquet d'instal·lació anomenat InstallerAlert, que reflecteix la funcionalitat de "FROSTYFERRET_UI".

Expansió dels vectors d’atac més enllà dels sol·licitants de feina

Tot i que les mostres de FlexibleFerret es van distribuir com a paquets d'instal·lador d'Apple, encara no està clar el mètode precís utilitzat per convèncer les víctimes perquè les executin. Tanmateix, l'evidència suggereix que el programari maliciós també s'està propagant creant problemes falsos als dipòsits legítims de GitHub. Aquest canvi de tàctiques indica una estratègia d'orientació més àmplia que s'estén més enllà dels sol·licitants de feina, dirigida als desenvolupadors i altres professionals de la indústria tecnològica.

A mesura que els ciberactors de Corea del Nord continuen perfeccionant els seus mètodes enganyosos, els experts en seguretat demanen una vigilància més gran quan es comprometen amb ofertes de feina en línia i sol·licituds d'instal·lació de programari.

Tendència

American Express: estafa per correu electrònic de...

Phishing, Correu brossa
En un món progressivament digital, la vigilància és clau per protegir la informació personal i financera. Les tàctiques de pesca són una amenaça en línia predominant dissenyada per explotar la confiança dels usuaris i robar dades sensibles. Entre aquests, l'estafa per correu electrònic de transaccions no reconegudes d'American Express ha sorgit com un exemple notable. En examinar les tàctiques...

Més vist

Carregant...