FERRET Malware
Bylo zjištěno, že severokorejští kybernetičtí agenti, kteří stojí za kampaní Contagious Interview, nasazují kmeny malwaru macOS souhrnně nazývané FERRET pod rouškou procesu pracovního pohovoru. Nic netušící cíle jsou vedeny ke komunikaci s údajným náborovým pracovníkem prostřednictvím odkazu, který vygeneruje chybovou zprávu a vyzve je k instalaci nebo aktualizaci softwaru, jako je VCam nebo CameraAccess, aby mohli pokračovat v rozhovoru.
Obsah
Nakažlivý rozhovor: Trvalé kybernetické špionážní úsilí
Contagious Interview, který byl původně odhalen na konci roku 2023, představuje trvalou kampaň zaměřenou na infikování obětí prostřednictvím klamných balíčků npm a nativních aplikací, které se vydávají za software pro videokonference. Kampaň, sledovaná také pod názvy jako DeceptiveDevelopment a DEV#POPPER, se nadále vyvíjí a využívá stále sofistikovanější taktiky.
Svržení BeaverTail a InvisibleFerret
Sekvence útoků obvykle vede k nasazení BeaverTail, malwaru založeného na JavaScriptu, který je navržen tak, aby extrahoval citlivá data z prohlížečů a kryptoměnových peněženek. Tento malware také funguje jako doručovací mechanismus pro další užitečné zatížení – zadní vrátka založená na Pythonu známá jako InvisibleFerret.
OtterCookie: Další vrstva škodlivé činnosti
V prosinci 2024 identifikovali výzkumníci kybernetické bezpečnosti z Japonska další součást řetězce útoků: variantu malwaru s názvem OtterCookie . Tento malware JavaScript je nakonfigurován tak, aby načítal a spouštěl další škodlivé datové části, čímž dále rozšiřuje možnosti infekce.
Zdokonalení taktiky úniku pomocí klamání ve stylu ClickFix
Když byla koncem roku 2024 objevena rodina malwaru FERRET, vědci poznamenali, že útočníci zdokonalovali své metody, aby se lépe vyhnuli detekci. Jedna pozoruhodná technika zahrnuje přístup ve stylu ClickFix, který přiměje uživatele, aby zkopírovali a provedli nebezpečný příkaz v aplikaci macOS Terminal pod záminkou vyřešení problémů s přístupem ke kameře a mikrofonu.
Cílení na uchazeče o zaměstnání prostřednictvím LinkedIn
Počáteční fáze těchto útoků často začíná u LinkedIn, kde aktéři hrozeb vystupují jako náboráři. Jejich primárním cílem je přesvědčit potenciální oběti, aby podstoupily videoposouzení, které nakonec vede k instalaci zadních vrátek na Golang. Tento malware je obzvláště zákeřný, je navržen tak, aby odčerpával prostředky na kryptoměny z peněženek MetaMask a zároveň umožňoval útočníkům provádět příkazy na napadeném zařízení.
Rozbití součástí malwaru FERRET
Výzkumníci identifikovali několik komponent spojených s rodinou malwaru FERRET, z nichž každá plní odlišnou funkci v sekvenci útoku:
- FROSTYFERRET_UI: Počáteční fáze dat, často maskovaná jako aplikace ChromeUpdate nebo CameraAccess.
- FRIENDLYFERRET_SECD: Sekundární zadní vrátka na Go, známá jako 'com.apple.secd', dříve propojená s kampaní Hidden Risk zaměřenou na obchody s kryptoměnami.
- MULTI_FROSTYFERRET_CMDCODES: Konfigurační soubor Go podporující funkci zadních vrátek druhé fáze.
FlexibleFerret: Zavedení Persistence na macOS
Byla také objevena samostatná sada malwarových artefaktů, označovaná jako FlexibleFerret. Tato varianta se zaměřuje na udržení stálosti v infikovaném systému macOS pomocí LaunchAgenta. Malware je dodáván prostřednictvím instalačního balíčku s názvem InstallerAlert, který odráží funkce „FROSTYFERRET_UI“.
Rozšíření útočných vektorů mimo uchazeče o zaměstnání
Zatímco vzorky FlexibleFerret byly distribuovány jako balíčky Apple Installer, přesná metoda použitá k přesvědčení obětí, aby je provedly, zůstává nejasná. Důkazy však naznačují, že malware se také šíří vytvářením falešných problémů na legitimních úložištích GitHub. Tento posun v taktice signalizuje širší strategii cílení, která přesahuje uchazeče o zaměstnání a zaměřuje se na vývojáře a další odborníky v technologickém průmyslu.
Zatímco severokorejští kybernetičtí aktéři pokračují ve zdokonalování svých podvodných metod, bezpečnostní experti nabádají ke zvýšené ostražitosti při práci s online nabídkami práce a výzvami k instalaci softwaru.
