Κακόβουλο λογισμικό FERRET
Βορειοκορεάτες κυβερνοχώροι πίσω από την εκστρατεία Contagious Interview βρέθηκαν να αναπτύσσουν στελέχη κακόβουλου λογισμικού macOS που ονομάζονται συλλογικά FERRET υπό το πρόσχημα μιας διαδικασίας συνέντευξης για δουλειά. Ανυποψίαστοι στόχοι οδηγούνται στην επικοινωνία με έναν υποτιθέμενο recruiter μέσω ενός συνδέσμου που δημιουργεί ένα μήνυμα σφάλματος, προτρέποντάς τους να εγκαταστήσουν ή να ενημερώσουν λογισμικό όπως το VCam ή το CameraAccess για να προχωρήσουν στη συνέντευξη.
Πίνακας περιεχομένων
Μεταδοτική συνέντευξη: Μια επίμονη προσπάθεια κυβερνοκατασκοπείας
Το Contagious Interview, το οποίο αποκαλύφθηκε αρχικά στα τέλη του 2023, αντιπροσωπεύει μια συνεχή εκστρατεία που στοχεύει στη μόλυνση των θυμάτων μέσω παραπλανητικών πακέτων npm και εγγενών εφαρμογών που παρουσιάζονται ως λογισμικό τηλεδιάσκεψης. Η καμπάνια, η οποία παρακολουθείται επίσης με ονόματα όπως DeceptiveDevelopment και DEV#POPPER, συνεχίζει να εξελίσσεται, χρησιμοποιώντας όλο και πιο εξελιγμένες τακτικές.
Ρίχνοντας το BeaverTail και το InvisibleFerret
Η ακολουθία επίθεσης συνήθως οδηγεί στην ανάπτυξη του BeaverTail, ενός κακόβουλου λογισμικού που βασίζεται σε JavaScript, σχεδιασμένο να εξάγει ευαίσθητα δεδομένα από προγράμματα περιήγησης και πορτοφόλια κρυπτονομισμάτων. Αυτό το κακόβουλο λογισμικό λειτουργεί επίσης ως μηχανισμός παράδοσης για ένα πρόσθετο ωφέλιμο φορτίο — μια κερκόπορτα που βασίζεται σε Python, γνωστή ως InvisibleFerret.
OtterCookie: Ένα άλλο επίπεδο επιβλαβούς δραστηριότητας
Τον Δεκέμβριο του 2024, ερευνητές κυβερνοασφάλειας από την Ιαπωνία εντόπισαν ένα άλλο στοιχείο στην αλυσίδα επιθέσεων: μια παραλλαγή κακόβουλου λογισμικού που ονομάζεται OtterCookie . Αυτό το κακόβουλο λογισμικό JavaScript έχει διαμορφωθεί ώστε να ανακτά και να εκτελεί επιπλέον επιβλαβή φορτία, επεκτείνοντας περαιτέρω τις δυνατότητες της μόλυνσης.
Βελτιώστε τις τακτικές φοροδιαφυγής με το ClickFix-Style Deception
Όταν η οικογένεια κακόβουλου λογισμικού FERRET ανακαλύφθηκε προς τα τέλη του 2024, οι ερευνητές παρατήρησαν ότι οι εισβολείς βελτίωναν τις μεθόδους τους για να αποφύγουν καλύτερα τον εντοπισμό. Μια αξιοσημείωτη τεχνική περιλαμβάνει μια προσέγγιση τύπου ClickFix, εξαπατώντας τους χρήστες να αντιγράψουν και να εκτελέσουν μια μη ασφαλή εντολή στην εφαρμογή MacOS Terminal με το πρόσχημα της επίλυσης προβλημάτων πρόσβασης κάμερας και μικροφώνου.
Στόχευση ατόμων που αναζητούν εργασία μέσω του LinkedIn
Η αρχική φάση αυτών των επιθέσεων ξεκινά συχνά με την προσέγγιση του LinkedIn, όπου οι παράγοντες απειλών παρουσιάζονται ως στρατολόγοι. Ο πρωταρχικός τους στόχος είναι να πείσουν τα πιθανά θύματα να υποβληθούν σε αξιολόγηση βίντεο, η οποία τελικά οδηγεί στην εγκατάσταση μιας κερκόπορτας με βάση το Golang. Αυτό το κακόβουλο λογισμικό είναι ιδιαίτερα ύπουλο, σχεδιασμένο για να αποστραγγίζει κεφάλαια κρυπτονομισμάτων από τα πορτοφόλια MetaMask, ενώ επιτρέπει επίσης στους εισβολείς να εκτελούν εντολές στη συσκευή που έχει παραβιαστεί.
Καταστροφή των εξαρτημάτων κακόβουλου λογισμικού FERRET
Οι ερευνητές έχουν εντοπίσει πολλά στοιχεία που σχετίζονται με την οικογένεια κακόβουλου λογισμικού FERRET, το καθένα από τα οποία εξυπηρετεί μια ξεχωριστή λειτουργία στην ακολουθία επιθέσεων:
- FROSTYFERRET_UI: Το ωφέλιμο φορτίο του αρχικού σταδίου, συχνά μεταμφιεσμένο ως εφαρμογές ChromeUpdate ή CameraAccess.
- FRIENDLYFERRET_SECD: Μια δευτερεύουσα κερκόπορτα που βασίζεται σε Go γνωστή ως «com.apple.secd», η οποία είχε συνδεθεί στο παρελθόν με την καμπάνια Hidden Risk που στοχεύει επιχειρήσεις κρυπτονομισμάτων.
- MULTI_FROSTYFERRET_CMDCODES: Ένα αρχείο διαμόρφωσης Go που υποστηρίζει τη λειτουργία backdoor στο δεύτερο στάδιο.
FlexibleFerret: Καθιέρωση Εμμονής στο macOS
Ένα ξεχωριστό σύνολο τεχνουργημάτων κακόβουλου λογισμικού, που αναφέρεται ως FlexibleFerret, έχει επίσης ανακαλυφθεί. Αυτή η παραλλαγή εστιάζει στη διατήρηση της επιμονής σε ένα μολυσμένο σύστημα macOS μέσω της χρήσης ενός LaunchAgent. Το κακόβουλο λογισμικό παραδίδεται μέσω ενός πακέτου προγράμματος εγκατάστασης που ονομάζεται InstallerAlert, αντικατοπτρίζοντας τη λειτουργικότητα του "FROSTYFERRET_UI".
Επέκταση των φορέων επίθεσης πέρα από τα άτομα που αναζητούν εργασία
Ενώ τα δείγματα FlexibleFerret διανεμήθηκαν ως πακέτα Apple Installer, η ακριβής μέθοδος που χρησιμοποιήθηκε για να πειστούν τα θύματα να τα εκτελέσουν παραμένει ασαφής. Ωστόσο, τα στοιχεία δείχνουν ότι το κακόβουλο λογισμικό διαδίδεται επίσης δημιουργώντας ψεύτικα ζητήματα σε νόμιμα αποθετήρια GitHub. Αυτή η αλλαγή τακτικής σηματοδοτεί μια ευρύτερη στρατηγική στόχευσης που εκτείνεται πέρα από τα άτομα που αναζητούν εργασία, με στόχο προγραμματιστές και άλλους επαγγελματίες στον κλάδο της τεχνολογίας.
Καθώς οι Βορειοκορεάτες κυβερνοτελεστές συνεχίζουν να βελτιώνουν τις παραπλανητικές μεθόδους τους, οι ειδικοί σε θέματα ασφάλειας ζητούν αυξημένη επαγρύπνηση κατά την ενασχόληση με online προσφορές εργασίας και προτροπές εγκατάστασης λογισμικού.
