Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Mac Malware FERRET Malware

FERRET Malware

Mezo -ra Mac Malware-ben
Fordítás ide:
Magyar

Azt találták, hogy a Contagious Interview kampány mögött álló észak-koreai kiberkezelők a macOS rosszindulatú programtörzseket gyűjtöttük össze FERRET néven egy állásinterjú folyamat leple alatt. A gyanútlan célszemélyek egy hibaüzenetet generáló hivatkozáson keresztül kommunikálnak egy feltételezett toborzóval, amely arra kéri őket, hogy telepítsenek vagy frissítsenek olyan szoftvereket, mint a VCam vagy a CameraAccess az interjú folytatásához.

Fertőző interjú: Kitartó internetes kémkedés

A kezdetben 2023 végén lelepleződött Contagious Interview egy tartós kampány, amelynek célja az áldozatok megtévesztő npm-csomagjaival és videokonferencia-szoftverként fellépő natív alkalmazásaival történő megfertőzése. A kampány, amelyet olyan neveken is nyomon követnek, mint a DeceptiveDevelopment és a DEV#POPPER, folyamatosan fejlődik, egyre kifinomultabb taktikákat alkalmazva.

BeaverTail és InvisibleGerret leejtése

A támadási szekvencia általában a BeaverTail, egy JavaScript-alapú kártevő telepítését eredményezi, amelyet arra terveztek, hogy érzékeny adatokat nyerjen ki a böngészőkből és a kriptovaluta pénztárcákból. Ez a rosszindulatú program egy további hasznos teher szállítási mechanizmusaként is működik – egy Python-alapú hátsó ajtó, az InvisibleFerret néven ismert.

OtterCookie: A káros tevékenység másik rétege

2024 decemberében a japán kiberbiztonsági kutatók egy másik összetevőt azonosítottak a támadási láncban: egy OtterCookie nevű malware-változatot. Ez a JavaScript rosszindulatú program úgy van beállítva, hogy további káros rakományokat kérjen le és hajtson végre, tovább bővítve ezzel a fertőzés képességeit.

Kijátszási taktikák finomítása ClickFix stílusú megtévesztéssel

Amikor 2024 vége felé felfedezték a FERRET kártevőcsaládot, a kutatók észrevették, hogy a támadók finomítják módszereiket, hogy jobban elkerüljék az észlelést. Az egyik figyelemre méltó technika a ClickFix-stílusú megközelítés, amely ráveszi a felhasználókat, hogy másoljanak és hajtsanak végre egy nem biztonságos parancsot a macOS Terminal alkalmazásban, azzal az ürüggyel, hogy megoldják a kamera- és mikrofon-hozzáférési problémákat.

Álláskeresők megcélzása a LinkedInen keresztül

Ezeknek a támadásoknak a kezdeti szakasza gyakran a LinkedIn kapcsolatfelvételével kezdődik, ahol a fenyegető szereplők toborzóként lépnek fel. Elsődleges céljuk, hogy rávegyék a potenciális áldozatokat egy videós értékelésre, amely végül egy Golang-alapú hátsó ajtó telepítéséhez vezet. Ez a rosszindulatú program különösen alattomos, és célja a kriptovaluta források elszívása a MetaMask Walletsből, miközben lehetővé teszi a támadók számára, hogy parancsokat hajtsanak végre a feltört eszközön.

A FERRET malware összetevőinek lebontása

A kutatók több, a FERRET malware családhoz kapcsolódó összetevőt azonosítottak, amelyek mindegyike külön funkciót tölt be a támadási sorrendben:

  • FROSTYFERRET_UI: A kezdeti szakasz hasznos terhelése, gyakran ChromeUpdate vagy CameraAccess alkalmazásnak álcázva.
  • FRIENDLYFERRET_SECD: Egy másodlagos Go-alapú hátsó ajtó, „com.apple.secd” néven, amely korábban a kriptovaluta üzletágakat célzó Hidden Risk kampányhoz kapcsolódott.
  • MULTI_FROSTYFERRET_CMDCODES: Go konfigurációs fájl, amely támogatja a második lépcsős hátsó ajtó funkcióit.

FlexibleFerret: A tartósság megteremtése macOS-en

Felfedezték a FlexibleFerret néven emlegetett rosszindulatú programok külön készletét is. Ez a változat a fertőzött macOS rendszeren belüli tartósság fenntartására összpontosít egy LaunchAgent használatával. A rosszindulatú program egy InstallerAlert nevű telepítőcsomagon keresztül érkezik, amely tükrözi a „FROSTYFERRET_UI” funkcióit.

A támadási vektorok kiterjesztése az álláskeresőkön túl

Míg a FlexibleFerret mintákat Apple Installer csomagként terjesztették, az áldozatok végrehajtásáról való meggyőzésére használt pontos módszer továbbra sem világos. A bizonyítékok azonban arra utalnak, hogy a rosszindulatú programokat azáltal is terjesztik, hogy hamis problémákat hoznak létre a legitim GitHub-tárolókon. Ez a taktikaváltás egy szélesebb célzási stratégiát jelez, amely túlmutat az álláskeresőkön, és a fejlesztőket és a technológiai iparág más szakembereit célozza meg.

Miközben az észak-koreai kiberszereplők folytatják megtévesztő módszereik finomítását, a biztonsági szakértők fokozott éberségre intenek az online állásajánlatok és a szoftvertelepítési utasítások során.

Felkapott

American Express – Ismeretlen tranzakciós e-mail...

Adathalászat, Spam
A fokozatosan digitális világban az éberség kulcsfontosságú a személyes és pénzügyi adatok védelmében. Az adathalász taktika egy elterjedt online fenyegetés, amelyet a felhasználók bizalmának kihasználására és érzékeny adatok ellopására terveztek. Ezek közül az American Express – Unrecognized Transaction e-mailes átverés említésre méltó példaként jelent meg. A csalás mögött meghúzódó taktikák...

Legnézettebb

„Ha Ön 18 éves, koppintson az Engedélyezés gombra”...

Hamis figyelmeztető üzenetek
25,191
A „Ha 18 éves vagy, koppintson az Engedélyezésre” felugró ablakok olyan felugró hirdetések, amelyek a felhasználó képernyőjén jelennek meg, amikor az interneten böngészik. Ezek az előugró ablakok meglehetősen riasztóak lehetnek a felhasználók számára, mivel arra ösztönzik őket, hogy kattintson az "engedélyezés" gombra, hogy továbbra is használja a jelenleg használt webhelyet. Ezek az előugró...
Betöltés...