FERRET Malware

संक्रामक साक्षात्कार अभियान के पीछे उत्तर कोरियाई साइबर ऑपरेटिव को नौकरी साक्षात्कार प्रक्रिया की आड़ में सामूहिक रूप से FERRET नामक macOS मैलवेयर स्ट्रेन तैनात करते हुए पाया गया है। बिना सोचे-समझे लक्ष्य को एक लिंक के माध्यम से कथित भर्तीकर्ता के साथ संवाद करने के लिए प्रेरित किया जाता है जो एक त्रुटि संदेश उत्पन्न करता है, जिससे उन्हें साक्षात्कार के साथ आगे बढ़ने के लिए VCam या CameraAccess जैसे सॉफ़्टवेयर को इंस्टॉल या अपडेट करने के लिए प्रेरित किया जाता है।

संक्रामक साक्षात्कार: एक सतत साइबर जासूसी प्रयास

2023 के अंत में शुरू में उजागर हुआ, संक्रामक साक्षात्कार एक निरंतर अभियान का प्रतिनिधित्व करता है जिसका उद्देश्य भ्रामक एनपीएम पैकेज और वीडियोकॉन्फ़्रेंसिंग सॉफ़्टवेयर के रूप में प्रस्तुत किए जाने वाले मूल अनुप्रयोगों के माध्यम से पीड़ितों को संक्रमित करना है। अभियान, जिसे भ्रामक विकास और DEV#POPPER जैसे नामों से भी ट्रैक किया जाता है, लगातार विकसित हो रहा है, और तेजी से परिष्कृत रणनीति का उपयोग कर रहा है।

बीवरटेल और इनविजिबलफेरेट को गिराना

हमले के क्रम में आमतौर पर बीवरटेल की तैनाती होती है, जो एक जावास्क्रिप्ट-आधारित मैलवेयर है जिसे ब्राउज़र और क्रिप्टोकरेंसी वॉलेट से संवेदनशील डेटा निकालने के लिए डिज़ाइन किया गया है। यह मैलवेयर एक अतिरिक्त पेलोड के लिए डिलीवरी मैकेनिज्म के रूप में भी काम करता है - एक पायथन-आधारित बैकडोर जिसे इनविजिबलफेरेट के रूप में जाना जाता है।

ओटर कुकी: हानिकारक गतिविधि की एक और परत

दिसंबर 2024 में, जापान के साइबर सुरक्षा शोधकर्ताओं ने हमले की श्रृंखला में एक और घटक की पहचान की: ओटरकुकी नामक एक मैलवेयर संस्करण। यह जावास्क्रिप्ट मैलवेयर अतिरिक्त हानिकारक पेलोड लाने और निष्पादित करने के लिए कॉन्फ़िगर किया गया है, जिससे संक्रमण की क्षमताओं का और विस्तार होता है।

क्लिकफिक्स-शैली धोखे के साथ चोरी की रणनीति को परिष्कृत करना

जब 2024 के अंत में FERRET मैलवेयर परिवार की खोज की गई, तो शोधकर्ताओं ने पाया कि हमलावर पहचान से बचने के लिए अपने तरीकों को बेहतर बना रहे थे। एक उल्लेखनीय तकनीक में ClickFix-शैली का दृष्टिकोण शामिल है, जो उपयोगकर्ताओं को कैमरा और माइक्रोफ़ोन एक्सेस समस्याओं को हल करने के बहाने macOS टर्मिनल एप्लिकेशन में एक असुरक्षित कमांड को कॉपी करने और निष्पादित करने के लिए प्रेरित करता है।

लिंक्डइन के माध्यम से नौकरी चाहने वालों को लक्षित करना

इन हमलों का प्रारंभिक चरण अक्सर लिंक्डइन आउटरीच से शुरू होता है, जहां धमकी देने वाले अभिनेता भर्ती करने वालों के रूप में सामने आते हैं। उनका प्राथमिक लक्ष्य संभावित पीड़ितों को एक वीडियो मूल्यांकन से गुजरने के लिए राजी करना है, जो अंततः एक गोलांग-आधारित बैकडोर की स्थापना की ओर ले जाता है। यह मैलवेयर विशेष रूप से कपटी है, जिसे मेटामास्क वॉलेट से क्रिप्टोकरेंसी फंड निकालने के लिए डिज़ाइन किया गया है, जबकि हमलावरों को समझौता किए गए डिवाइस पर कमांड निष्पादित करने की अनुमति भी देता है।

FERRET मैलवेयर घटकों को तोड़ना

शोधकर्ताओं ने FERRET मैलवेयर परिवार से जुड़े कई घटकों की पहचान की है, जिनमें से प्रत्येक हमले के क्रम में एक अलग कार्य करता है:

• FROSTYFERRET_UI: प्रारंभिक चरण का पेलोड, जो अक्सर ChromeUpdate या CameraAccess अनुप्रयोगों के रूप में प्रच्छन्न होता है।
• FRIENDLYFERRET_SECD: एक द्वितीयक गो-आधारित बैकडोर जिसे 'com.apple.secd' के नाम से जाना जाता है, जो पहले क्रिप्टोकरेंसी व्यवसायों को लक्षित करने वाले हिडन रिस्क अभियान से जुड़ा था।
• MULTI_FROSTYFERRET_CMDCODES: एक गो कॉन्फ़िगरेशन फ़ाइल जो स्टेज दो बैकडोर कार्यक्षमता का समर्थन करती है।

FlexibleFerret: macOS पर दृढ़ता स्थापित करना

मैलवेयर आर्टिफैक्ट्स का एक अलग सेट, जिसे फ्लेक्सिबलफेरेट कहा जाता है, भी खोजा गया है। यह वैरिएंट लॉन्चएजेंट के उपयोग के माध्यम से संक्रमित macOS सिस्टम के भीतर दृढ़ता बनाए रखने पर केंद्रित है। मैलवेयर को InstallerAlert नामक इंस्टॉलर पैकेज के माध्यम से वितरित किया जाता है, जो 'FROSTYFERRET_UI' की कार्यक्षमता को दर्शाता है।

नौकरी चाहने वालों से आगे बढ़कर आक्रमण के दायरे का विस्तार

जबकि फ्लेक्सिबलफेरेट के नमूने Apple इंस्टालर पैकेज के रूप में वितरित किए गए थे, पीड़ितों को उन्हें निष्पादित करने के लिए मनाने के लिए इस्तेमाल की जाने वाली सटीक विधि अभी भी स्पष्ट नहीं है। हालाँकि, साक्ष्य बताते हैं कि वैध GitHub रिपॉजिटरी पर नकली मुद्दे बनाकर मैलवेयर का प्रचार भी किया जा रहा है। रणनीति में यह बदलाव एक व्यापक लक्ष्यीकरण रणनीति का संकेत देता है जो नौकरी चाहने वालों से आगे बढ़कर, तकनीकी उद्योग के भीतर डेवलपर्स और अन्य पेशेवरों को लक्षित करता है।

चूंकि उत्तर कोरियाई साइबर अपराधी अपने भ्रामक तरीकों को और निखार रहे हैं, इसलिए सुरक्षा विशेषज्ञ ऑनलाइन नौकरी प्रस्तावों और सॉफ्टवेयर इंस्टॉलेशन संबंधी सुझावों पर कड़ी सतर्कता बरतने का आग्रह कर रहे हैं।