תוכנה זדונית של FERRET

פעילי סייבר צפון קוריאנים מאחורי קמפיין הראיונות המדבקים נמצאו כשהם פורסים זני תוכנות זדוניות של macOS המכונים ביחד FERRET במסווה של תהליך ראיון עבודה. יעדים תמימים מובלים לתקשר עם מגייס כביכול באמצעות קישור שיוצר הודעת שגיאה, המנחה אותם להתקין או לעדכן תוכנות כמו VCam או CameraAccess כדי להמשיך בראיון.

ראיון מדבק: מאמץ מתמשך בריגול סייבר

הראיון המדבק, שנחשף לראשונה בסוף 2023, מייצג קמפיין מתמשך שמטרתו להדביק קורבנות באמצעות חבילות npm מטעות ויישומים מקוריים שמתחזות לתוכנת ועידת וידאו. מסע הפרסום, שמעקב גם הוא תחת שמות כמו DeceptiveDevelopment ו-DEV#POPPER, ממשיך להתפתח, תוך שימוש בטקטיקות מתוחכמות יותר ויותר.

הפלת BeaverTail ו-InvisibleFerret

רצף ההתקפה מביא בדרך כלל לפריסה של BeaverTail, תוכנה זדונית מבוססת JavaScript שנועדה לחלץ נתונים רגישים מדפדפנים וארנקי מטבעות קריפטוגרפיים. תוכנה זדונית זו פועלת גם כמנגנון מסירה למטען נוסף - דלת אחורית מבוססת Python המכונה InvisibleFerret.

OtterCookie: עוד שכבה של פעילות מזיקה

בדצמבר 2024, חוקרי אבטחת סייבר מיפן זיהו מרכיב נוסף בשרשרת התקיפה: גרסת תוכנה זדונית בשם OtterCookie . תוכנה זדונית זו של JavaScript מוגדרת להביא ולהפעיל עומסים מזיקים נוספים, ולהרחיב עוד יותר את יכולות ההדבקה.

חידוד טקטיקות התחמקות עם הונאה בסגנון ClickFix

כאשר התגלתה משפחת התוכנות הזדוניות של FERRET לקראת סוף 2024, החוקרים ציינו כי התוקפים משכללים את השיטות שלהם כדי להתחמק טוב יותר מזיהוי. טכניקה בולטת אחת כוללת גישה בסגנון ClickFix, המרמה את המשתמשים להעתיק ולבצע פקודה לא בטוחה באפליקציית macOS Terminal תחת יומרה של פתרון בעיות גישה למצלמה ולמיקרופון.

מיקוד למחפשי עבודה באמצעות לינקדאין

השלב הראשוני של התקפות אלה מתחיל לעתים קרובות עם הסברה של לינקדאין, שבה גורמי איום מהווים מגייסים. המטרה העיקרית שלהם היא לשכנע קורבנות פוטנציאליים לעבור הערכת וידאו, מה שמוביל בסופו של דבר להתקנת דלת אחורית מבוססת גולנג. תוכנה זדונית זו היא ערמומית במיוחד, שנועדה לנקז כספי מטבעות קריפטוגרפיים מארנקי MetaMask ובמקביל לאפשר לתוקפים לבצע פקודות במכשיר שנפגע.

פירוק רכיבי התוכנה הזדונית של FERRET

חוקרים זיהו מספר רכיבים הקשורים למשפחת התוכנות הזדוניות של FERRET, כל אחד משרת תפקיד נפרד ברצף ההתקפה:

• FROSTYFERRET_UI: המטען בשלב הראשוני, לעתים קרובות מחופש ליישומי ChromeUpdate או CameraAccess.
• FRIENDLYFERRET_SECD: דלת אחורית משנית מבוססת Go הידועה בשם 'com.apple.secd', מקושרת בעבר למסע הפרסום Hidden Risk המכוון לעסקים של מטבעות קריפטוגרפיים.
• MULTI_FROSTYFERRET_CMDCODES: קובץ תצורה של Go התומך בפונקציונליות של שלב שני בדלת אחורית.

FlexibleFerret: ביסוס התמדה ב-macOS

קבוצה נפרדת של חפצי תוכנה זדונית, המכונה FlexibleFerret, התגלתה גם היא. גרסה זו מתמקדת בשמירה על התמדה בתוך מערכת macOS נגועה באמצעות שימוש ב-LaunchAgent. התוכנה הזדונית מועברת באמצעות חבילת התקנה בשם InstallerAlert, המשקפת את הפונקציונליות של 'FROSTYFERRET_UI'.

הרחבת וקטורי התקפה מעבר למחפשי עבודה

בעוד שהדגימות של FlexibleFerret הופצו כחבילות של Apple Installer, השיטה המדויקת ששימשה את הקורבנות להוציא אותן להורג נותרה לא ברורה. עם זאת, עדויות מצביעות על כך שהתוכנה הזדונית מופצת גם על ידי יצירת בעיות מזויפות במאגרי GitHub לגיטימיים. שינוי הטקטיקה הזה מסמן אסטרטגיית מיקוד רחבה יותר שמתרחבת מעבר למחפשי עבודה, המכוונת למפתחים ואנשי מקצוע אחרים בתעשיית הטכנולוגיה.

בעוד שחקני סייבר צפון קוריאנים ממשיכים לשכלל את השיטות המטעות שלהם, מומחי אבטחה דוחקים לעירנות מוגברת בעת יצירת קשר עם הצעות עבודה מקוונות והנחיות להתקנת תוכנה.