Monen lisenssin alennustarjous
Uhatietokanta Mac-haittaohjelma FERRET Haittaohjelma

FERRET Haittaohjelma

Vuonna Mezo vuonna Mac-haittaohjelma
Käännä:
Suomi

Contagious Interview -kampanjan takana olevien pohjoiskorealaisten kyberoperaattoreiden on löydetty ottavan työhaastatteluprosessin varjolla käyttöön macOS-haittaohjelmakantoja, joita kutsutaan yhteisnimellä FERRET. Aavistamattomat kohteet ohjataan kommunikoimaan oletetun rekrytoijan kanssa linkin kautta, joka luo virheilmoituksen, joka kehottaa heitä asentamaan tai päivittämään ohjelmiston, kuten VCamin tai CameraAccessin, jatkaakseen haastattelua.

Tarttuva haastattelu: jatkuva kybervakoiluyritys

Alun perin vuoden 2023 lopulla paljastettu Contagious Interview edustaa jatkuvaa kampanjaa, jonka tavoitteena on tartuttaa uhreja petollisten npm-pakettien ja natiivisovellusten avulla, jotka esiintyvät videoneuvotteluohjelmistoina. Kampanja, jota seurataan myös nimillä DeceptiveDevelopment ja DEV#POPPER, kehittyy jatkuvasti käyttämällä yhä kehittyneempiä taktiikoita.

BeaverTail ja InvisibleFerret pudottaminen

Hyökkäyssarja johtaa tyypillisesti BeaverTailin käyttöönottoon, JavaScript-pohjaiseen haittaohjelmaan, joka on suunniteltu poimimaan arkaluontoisia tietoja selaimista ja kryptovaluuttalompakoista. Tämä haittaohjelma toimii myös lisähyötykuorman toimitusmekanismina – Python-pohjaisen takaoven, joka tunnetaan nimellä InvisibleFerret.

OtterCookie: Toinen haitallisen toiminnan kerros

Joulukuussa 2024 japanilaiset kyberturvallisuustutkijat tunnistivat hyökkäysketjussa toisen komponentin: OtterCookie -nimisen haittaohjelmaversion. Tämä JavaScript-haittaohjelma on määritetty hakemaan ja suorittamaan lisää haitallisia hyötykuormia, mikä laajentaa entisestään tartunnan ominaisuuksia.

Kiertotaktiikkojen jalostaminen ClickFix-tyylisen petoksen avulla

Kun FERRET-haittaohjelmaperhe löydettiin vuoden 2024 lopulla, tutkijat huomasivat, että hyökkääjät paransivat menetelmiään välttääkseen havaitsemisen. Yksi merkittävä tekniikka on ClickFix-tyylinen lähestymistapa, jossa käyttäjät huijataan kopioimaan ja suorittamaan vaarallinen komento macOS Terminal -sovelluksessa sillä verukkeella, että kameran ja mikrofonin käyttöongelmia ratkaistaan.

Työnhakijoille kohdistaminen LinkedInin kautta

Näiden hyökkäysten alkuvaihe alkaa usein LinkedIn-ulostulolla, jossa uhkaavat toimijat esiintyvät rekrytoijina. Heidän ensisijaisena tavoitteenaan on saada mahdolliset uhrit suorittamaan videoarviointi, joka lopulta johtaa Golang-pohjaisen takaoven asentamiseen. Tämä haittaohjelma on erityisen salakavala, ja se on suunniteltu tyhjentämään kryptovaluuttavaroja MetaMask-lompakoista samalla, kun hyökkääjät voivat suorittaa komentoja vaarantuneella laitteella.

FERRET-haittaohjelmakomponenttien hajottaminen

Tutkijat ovat tunnistaneet useita FERRET-haittaohjelmaperheeseen liittyviä komponentteja, joista jokaisella on erillinen tehtävä hyökkäyssarjassa:

  • FROSTYFERRET_UI: Alkuvaiheen hyötykuorma, usein naamioituna ChromeUpdate- tai CameraAccess-sovelluksiksi.
  • FRIENDLYFERRET_SECD: Toissijainen Go-pohjainen takaovi, joka tunnetaan nimellä "com.apple.secd", joka oli aiemmin linkitetty kryptovaluuttayrityksille suunnattuun Hidden Risk -kampanjaan.
  • MULTI_FROSTYFERRET_CMDCODES: Go-määritystiedosto, joka tukee toisen vaiheen takaoven toimintoja.

FlexibleFerret: Pysyvyyden varmistaminen macOS:ssä

Erillinen joukko haittaohjelmia, joita kutsutaan nimellä FlexibleFerret, on myös löydetty. Tämä muunnelma keskittyy pysyvyyden ylläpitämiseen tartunnan saaneessa macOS-järjestelmässä LaunchAgentin avulla. Haittaohjelma toimitetaan InstallerAlert-nimisen asennuspaketin kautta, joka peilaa FROSTYFERRET_UI:n toimintoja.

Laajentuvat hyökkäysvektorit työnhakijoiden ulkopuolelle

Vaikka FlexibleFerret-näytteet jaettiin Apple Installer -paketteina, tarkka menetelmä, jolla uhrit taivutettiin suorittamaan ne, on edelleen epäselvä. Todisteet viittaavat kuitenkin siihen, että haittaohjelmia levitetään myös luomalla väärennettyjä ongelmia laillisiin GitHub-tietovarastoihin. Tämä taktiikkamuutos on merkki laajemmasta kohdistusstrategiasta, joka ulottuu työnhakijoiden ulkopuolelle ja joka kohdistuu kehittäjiin ja muihin teknologia-alan ammattilaisiin.

Pohjoiskorealaisten kybertoimijoiden jatkaessa petollisten menetelmiensä jalostamista turvallisuusasiantuntijat kehottavat olemaan valppaana verkkotyötarjouksissa ja ohjelmiston asennuskehotuksissa.

Trendaavat

Eniten katsottu

Ladataan...