Ponuda s popustom na više licenci
Baza prijetnji Zlonamjerni softver za Mac FERRET Malware

FERRET Malware

Do Mezo. Zlonamjerni softver za Mac. godine
Prevedi na:
Hrvatski

Sjevernokorejski cyber operativci koji stoje iza kampanje Contagious Interview otkriveni su kako pod krinkom procesa razgovora za posao postavljaju vrste zlonamjernog softvera za macOS pod zajedničkim nazivom FERRET. Mete koje ništa ne sumnjaju navode se na komunikaciju s navodnim regruterom putem veze koja generira poruku o pogrešci, koja ih poziva da instaliraju ili ažuriraju softver poput VCam ili CameraAccess kako bi nastavili s intervjuom.

Zarazni intervju: uporni napor cyber špijunaže

Prvobitno otkriven krajem 2023., Contagious Interview predstavlja stalnu kampanju usmjerenu na zarazu žrtava putem varljivih npm paketa i izvornih aplikacija koje se predstavljaju kao softver za videokonferencije. Kampanja, koja se također prati pod imenima kao što su DeceptiveDevelopment i DEV#POPPER, nastavlja se razvijati, koristeći sve sofisticiranije taktike.

Ispuštanje BeaverTail i InvisibleFerret

Sekvenca napada obično rezultira uvođenjem BeaverTaila, zlonamjernog softvera koji se temelji na JavaScriptu i dizajniran je za izvlačenje osjetljivih podataka iz preglednika i novčanika kriptovaluta. Ovaj zlonamjerni softver također djeluje kao mehanizam za isporuku dodatnog korisnog tereta — stražnja vrata temeljena na Pythonu poznata kao InvisibleFerret.

OtterCookie: Još jedan sloj štetne aktivnosti

U prosincu 2024. istraživači kibernetičke sigurnosti iz Japana identificirali su još jednu komponentu u lancu napada: varijantu zlonamjernog softvera pod nazivom OtterCookie . Ovaj JavaScript zlonamjerni softver konfiguriran je za dohvaćanje i izvršavanje dodatnih štetnih sadržaja, dodatno proširujući mogućnosti infekcije.

Usavršavanje taktike utaje s prijevarom u stilu ClickFix

Kada je obitelj zlonamjernog softvera FERRET otkrivena krajem 2024., istraživači su primijetili da su napadači usavršavali svoje metode kako bi bolje izbjegli otkrivanje. Jedna značajna tehnika uključuje pristup u stilu ClickFixa, navodeći korisnike da kopiraju i izvrše nesigurnu naredbu u aplikaciji macOS Terminal pod izlikom rješavanja problema s pristupom kameri i mikrofonu.

Ciljanje tražitelja posla putem LinkedIna

Početna faza ovih napada često počinje s LinkedIn outreachom, gdje se akteri prijetnji predstavljaju kao regruteri. Njihov primarni cilj je uvjeriti potencijalne žrtve da se podvrgnu video procjeni, što u konačnici dovodi do instaliranja stražnjih vrata temeljenih na Golangu. Ovaj zlonamjerni softver je posebno podmukao, osmišljen kako bi iscrpio sredstva kriptovalute iz MetaMask novčanika, a istovremeno dopuštao napadačima da izvršavaju naredbe na kompromitiranom uređaju.

Razbijanje komponenti zlonamjernog softvera FERRET

Istraživači su identificirali nekoliko komponenti povezanih s obitelji zlonamjernog softvera FERRET, od kojih svaka služi različitoj funkciji u nizu napada:

  • FROSTYFERRET_UI: korisni teret u početnoj fazi, često prerušen u aplikacije ChromeUpdate ili CameraAccess.
  • FRIENDLYFERRET_SECD: Sekundarni backdoor temeljen na Go-u poznat kao 'com.apple.secd', prethodno povezan s kampanjom Skriveni rizik koja cilja tvrtke s kriptovalutama.
  • MULTI_FROSTYFERRET_CMDCODES: Go konfiguracijska datoteka koja podržava funkciju backdoor druge faze.

FlexibleFerret: Uspostavljanje postojanosti na macOS-u

Također je otkriven zaseban skup artefakata zlonamjernog softvera, koji se naziva FlexibleFerret. Ova se varijanta usredotočuje na održavanje postojanosti unutar zaraženog macOS sustava korištenjem LaunchAgenta. Zlonamjerni softver isporučuje se putem instalacijskog paketa pod nazivom InstallerAlert, koji odražava funkcionalnost "FROSTYFERRET_UI".

Širenje vektora napada izvan tražitelja posla

Dok su uzorci FlexibleFerret bili distribuirani kao paketi Apple Installer, točna metoda korištena za uvjeravanje žrtava da ih pogube ostaje nejasna. Međutim, dokazi sugeriraju da se zlonamjerni softver također širi stvaranjem lažnih problema na legitimnim GitHub repozitorijima. Ova promjena u taktici signalizira širu strategiju ciljanja koja se proteže izvan tražitelja posla, ciljajući na programere i druge stručnjake unutar tehnološke industrije.

Dok sjevernokorejski kibernetički akteri nastavljaju usavršavati svoje obmanjujuće metode, stručnjaci za sigurnost pozivaju na povećanu opreznost prilikom bavljenja online ponudama poslova i uputama za instalaciju softvera.

U trendu

Nagledanije

Skočni prozori 'Ako imate 18 godina dodirnite Dopusti'

Lažne poruke upozorenja
25,191
Skočni prozori 'If You are 18 Tap Allow' vrsta su skočnih oglasa koji se pojavljuju na zaslonu korisnika dok pregledava internet. Ovi skočni prozori mogu biti prilično alarmantni za korisnike jer ih potiču da kliknu na gumb "dopusti" kako bi nastavili koristiti web stranicu na kojoj se trenutno nalaze. Ovi skočni prozori povezani su s takvim neželjenim programima kao što je adware koji...
Učitavam...