Rabattilbud med flere licenser
Trusseldatabase Mac Malware FERRET Malware

FERRET Malware

Med Mezo i Mac Malware
Oversæt til:
Dansk

Nordkoreanske cyberoperatører bag Contagious Interview-kampagnen er blevet fundet i at implementere macOS malware-stammer, der kollektivt kaldes FERRET under dække af en jobsamtaleproces. Intetanende mål bliver ført til at kommunikere med en formodet rekrutterer via et link, der genererer en fejlmeddelelse, der beder dem om at installere eller opdatere software som VCam eller CameraAccess for at fortsætte med interviewet.

Smitsomt interview: En vedvarende cyberspionageindsats

Det smitsomme interview, som oprindeligt blev afsløret i slutningen af 2023, repræsenterer en vedvarende kampagne, der sigter mod at inficere ofre gennem vildledende npm-pakker og indbyggede applikationer, der fremstår som videokonferencesoftware. Kampagnen, der også spores under navne som DeceptiveDevelopment og DEV#POPPER, fortsætter med at udvikle sig og anvender stadig mere sofistikerede taktikker.

Dropper BeaverTail og InvisibleFerret

Angrebssekvensen resulterer typisk i implementeringen af BeaverTail, en JavaScript-baseret malware designet til at udtrække følsomme data fra browsere og cryptocurrency tegnebøger. Denne malware fungerer også som en leveringsmekanisme for en ekstra nyttelast - en Python-baseret bagdør kendt som InvisibleFerret.

OtterCookie: Endnu et lag af skadelig aktivitet

I december 2024 identificerede cybersikkerhedsforskere fra Japan en anden komponent i angrebskæden: en malware-variant ved navn OtterCookie . Denne JavaScript-malware er konfigureret til at hente og udføre yderligere skadelige nyttelaster, hvilket yderligere udvider infektionens muligheder.

Forfin undvigelsestaktik med ClickFix-stilbedrag

Da FERRET malware-familien blev opdaget i slutningen af 2024, bemærkede forskere, at angriberne forfinede deres metoder for bedre at undgå opdagelse. En bemærkelsesværdig teknik involverer en ClickFix-tilnærming, der narre brugere til at kopiere og udføre en usikker kommando i macOS Terminal-applikationen under påskud af at løse problemer med kamera- og mikrofonadgang.

Målretning af jobsøgende gennem LinkedIn

Den indledende fase af disse angreb begynder ofte med LinkedIn outreach, hvor trusselsaktører udgør som rekrutterere. Deres primære mål er at overtale potentielle ofre til at gennemgå en videovurdering, som i sidste ende fører til installationen af en Golang-baseret bagdør. Denne malware er særligt lumsk, designet til at dræne kryptovaluta-midler fra MetaMask Wallets, samtidig med at den tillader angribere at udføre kommandoer på den kompromitterede enhed.

Nedbrydning af FERRET Malware-komponenterne

Forskere har identificeret flere komponenter forbundet med FERRET malware-familien, der hver tjener en særskilt funktion i angrebssekvensen:

  • FROSTYFERRET_UI: Nyttelasten i den indledende fase, ofte forklædt som ChromeUpdate- eller CameraAccess-applikationer.
  • FRIENDLYFERRET_SECD: En sekundær Go-baseret bagdør kendt som 'com.apple.secd', som tidligere var knyttet til Hidden Risk-kampagnen målrettet kryptovalutavirksomheder.
  • MULTI_FROSTYFERRET_CMDCODES: En Go-konfigurationsfil, der understøtter fase to-bagdørsfunktionalitet.

FlexibleFerret: Etablering af persistens på macOS

Et separat sæt malware-artefakter, kaldet FlexibleFerret, er også blevet opdaget. Denne variant fokuserer på at opretholde persistens i et inficeret macOS-system gennem brug af en LaunchAgent. Malwaren leveres via en installationspakke ved navn InstallerAlert, der afspejler funktionaliteten af 'FROSTYFERRET_UI.'

Udvidelse af angrebsvektorer ud over jobsøgende

Mens FlexibleFerret-prøverne blev distribueret som Apple Installer-pakker, er den præcise metode, der blev brugt til at overbevise ofrene om at henrette dem, uklar. Beviser tyder dog på, at malwaren også udbredes ved at skabe falske problemer på legitime GitHub-depoter. Dette skift i taktik signalerer en bredere målretningsstrategi, der strækker sig ud over jobsøgende og sigter mod udviklere og andre fagfolk inden for teknologiindustrien.

Mens nordkoreanske cyberaktører fortsætter med at forfine deres vildledende metoder, opfordrer sikkerhedseksperter til øget årvågenhed, når de engagerer sig i online jobtilbud og prompter om softwareinstallation.

Trending

Mest sete

Indlæser...