بدافزار FERRET

ماموران سایبری کره شمالی در پشت کمپین مصاحبه مسری، در حال استقرار گونه‌های بدافزار macOS با نام FERRET تحت پوشش فرآیند مصاحبه شغلی هستند. اهداف نامطمئن از طریق پیوندی که یک پیام خطا ایجاد می کند با یک استخدام کننده فرضی ارتباط برقرار می کنند و از آنها می خواهد تا نرم افزارهایی مانند VCam یا CameraAccess را نصب یا به روز کنند تا مصاحبه را ادامه دهند.

مصاحبه مسری: تلاش مستمر جاسوسی سایبری

مصاحبه مسری که در ابتدا در اواخر سال 2023 کشف شد، یک کمپین پایدار با هدف آلوده کردن قربانیان از طریق بسته‌های فریبنده npm و برنامه‌های کاربردی بومی است که به عنوان نرم‌افزار کنفرانس ویدئویی ظاهر می‌شوند. این کمپین که با نام‌هایی مانند DeceptiveDevelopment و DEV#POPPER نیز دنبال می‌شود، همچنان به تکامل خود ادامه می‌دهد و تاکتیک‌های پیچیده‌تری را به کار می‌گیرد.

رها کردن BeaverTail و InvisibleFerret

توالی حمله معمولاً منجر به استقرار BeaverTail، یک بدافزار مبتنی بر جاوا اسکریپت می شود که برای استخراج داده های حساس از مرورگرها و کیف پول های ارزهای دیجیتال طراحی شده است. این بدافزار همچنین به عنوان یک مکانیسم تحویل برای بار اضافی عمل می کند - یک درب پشتی مبتنی بر پایتون که به نام InvisibleFerret شناخته می شود.

OtterCookie: لایه دیگری از فعالیت های مضر

در دسامبر 2024، محققان امنیت سایبری از ژاپن مؤلفه دیگری را در زنجیره حمله شناسایی کردند: نوع بدافزاری به نام OtterCookie . این بدافزار جاوا اسکریپت برای واکشی و اجرای بارهای مضر اضافی پیکربندی شده است و قابلیت‌های آلودگی را بیشتر می‌کند.

اصلاح تاکتیک های فرار با فریب به سبک ClickFix

هنگامی که خانواده بدافزار FERRET در اواخر سال 2024 کشف شد، محققان متوجه شدند که مهاجمان روش‌های خود را برای فرار بهتر از شناسایی اصلاح می‌کنند. یکی از تکنیک‌های قابل توجه شامل رویکردی به سبک ClickFix است که کاربران را فریب می‌دهد تا به بهانه حل مشکلات دسترسی دوربین و میکروفون، یک فرمان ناامن را در برنامه macOS Terminal کپی و اجرا کنند.

هدف قرار دادن جویندگان کار از طریق لینکدین

مرحله اولیه این حملات اغلب با ارتباط با لینکدین آغاز می شود، جایی که عوامل تهدید به عنوان استخدام کننده ظاهر می شوند. هدف اصلی آنها متقاعد کردن قربانیان احتمالی برای انجام یک ارزیابی ویدیویی است که در نهایت منجر به نصب یک درب پشتی مبتنی بر Golang می شود. این بدافزار مخصوصاً موذی است و برای تخلیه وجوه ارزهای دیجیتال از MetaMask Wallets طراحی شده است و در عین حال به مهاجمان اجازه می دهد تا دستورات را روی دستگاه در معرض خطر اجرا کنند.

شکستن اجزای بدافزار FERRET

محققان چندین مؤلفه مرتبط با خانواده بدافزار FERRET را شناسایی کرده‌اند که هر کدام عملکرد مشخصی را در توالی حملات انجام می‌دهند:

• FROSTYFERRET_UI: محموله مرحله اولیه، اغلب به عنوان برنامه‌های ChromeUpdate یا CameraAccess پنهان می‌شود.
• FRIENDLYFERRET_SECD: یک درپشتی مبتنی بر Go ثانویه به نام «com.apple.secd» که قبلاً به کمپین ریسک پنهان که مشاغل ارزهای دیجیتال را هدف قرار می دهد پیوند داده شده است.
• MULTI_FROSTYFERRET_CMDCODES: یک فایل پیکربندی Go که از عملکرد درپشتی مرحله دوم پشتیبانی می کند.

FlexibleFerret: ایجاد پایداری در macOS

مجموعه جداگانه ای از مصنوعات بدافزار، به نام FlexibleFerret نیز کشف شده است. این نوع بر حفظ پایداری در سیستم macOS آلوده از طریق استفاده از LaunchAgent تمرکز دارد. بدافزار از طریق یک بسته نصب کننده به نام InstallerAlert تحویل داده می شود که عملکرد "FROSTYFERRET_UI" را منعکس می کند.

گسترش بردارهای حمله فراتر از جویندگان کار

در حالی که نمونه‌های FlexibleFerret به‌عنوان بسته‌های Apple Installer توزیع شدند، روش دقیق مورد استفاده برای متقاعد کردن قربانیان برای اجرای آنها نامشخص است. با این حال، شواهد نشان می دهد که این بدافزار با ایجاد مشکلات جعلی در مخازن قانونی GitHub نیز منتشر می شود. این تغییر در تاکتیک‌ها نشان‌دهنده یک استراتژی هدف‌گیری گسترده‌تر است که فراتر از جویندگان کار است و توسعه‌دهندگان و دیگر متخصصان صنعت فناوری را هدف قرار می‌دهد.

در حالی که بازیگران سایبری کره شمالی به اصلاح روش‌های فریبکارانه خود ادامه می‌دهند، کارشناسان امنیتی توصیه می‌کنند هنگام درگیر شدن با پیشنهادات شغلی آنلاین و درخواست‌های نصب نرم‌افزار، هوشیاری بیشتری داشته باشید.