Preventivo sconto multi-licenza
Database delle minacce Malware per Mac FERRET Malware

FERRET Malware

Entro Mezo nel Malware per Mac
Traduci in:
Italiano

Gli agenti informatici nordcoreani dietro la campagna Contagious Interview sono stati scoperti mentre distribuivano ceppi di malware macOS collettivamente denominati FERRET sotto le mentite spoglie di un processo di colloquio di lavoro. I bersagli ignari vengono indotti a comunicare con un presunto reclutatore tramite un collegamento che genera un messaggio di errore, che li spinge a installare o aggiornare software come VCam o CameraAccess per procedere con il colloquio.

Intervista contagiosa: uno sforzo persistente di spionaggio informatico

Inizialmente scoperto alla fine del 2023, Contagious Interview rappresenta una campagna sostenuta volta a infettare le vittime tramite pacchetti npm ingannevoli e applicazioni native che si spacciano per software per videoconferenze. La campagna, monitorata anche con nomi come DeceptiveDevelopment e DEV#POPPER, continua a evolversi, impiegando tattiche sempre più sofisticate.

Abbandono di BeaverTail e InvisibleFerret

La sequenza di attacco in genere si traduce nell'implementazione di BeaverTail, un malware basato su JavaScript progettato per estrarre dati sensibili da browser e wallet di criptovalute. Questo malware funge anche da meccanismo di distribuzione per un payload aggiuntivo, una backdoor basata su Python nota come InvisibleFerret.

OtterCookie: un altro livello di attività dannosa

Nel dicembre 2024, i ricercatori di sicurezza informatica giapponesi hanno identificato un altro componente nella catena di attacco: una variante di malware denominata OtterCookie . Questo malware JavaScript è configurato per recuperare ed eseguire payload dannosi aggiuntivi, espandendo ulteriormente le capacità dell'infezione.

Affinare le tattiche di evasione con l’inganno in stile ClickFix

Quando la famiglia di malware FERRET è stata scoperta verso la fine del 2024, i ricercatori hanno notato che gli aggressori stavano perfezionando i loro metodi per eludere meglio il rilevamento. Una tecnica degna di nota prevede un approccio in stile ClickFix, che induce gli utenti a copiare ed eseguire un comando non sicuro nell'applicazione Terminale di macOS con il pretesto di risolvere i problemi di accesso alla fotocamera e al microfono.

Targeting dei candidati tramite LinkedIn

La fase iniziale di questi attacchi spesso inizia con l'outreach di LinkedIn, dove gli autori delle minacce si atteggiano a reclutatori. Il loro obiettivo principale è convincere le potenziali vittime a sottoporsi a una valutazione video, che alla fine porta all'installazione di una backdoor basata su Golang. Questo malware è particolarmente insidioso, progettato per prosciugare i fondi in criptovaluta dai MetaMask Wallet, consentendo allo stesso tempo agli aggressori di eseguire comandi sul dispositivo compromesso.

Analisi dei componenti del malware FERRET

I ricercatori hanno identificato diversi componenti associati alla famiglia di malware FERRET, ognuno dei quali svolge una funzione distinta nella sequenza di attacco:

  • FROSTYFERRET_UI: il payload della fase iniziale, spesso mascherato da applicazioni ChromeUpdate o CameraAccess.
  • FRIENDLYFERRET_SECD: una backdoor secondaria basata su Go nota come 'com.apple.secd', precedentemente collegata alla campagna Hidden Risk rivolta alle aziende di criptovalute.
  • MULTI_FROSTYFERRET_CMDCODES: File di configurazione Go che supporta la funzionalità backdoor di fase due.

FlexibleFerret: stabilire la persistenza su macOS

È stato scoperto anche un set separato di artefatti malware, denominato FlexibleFerret. Questa variante si concentra sul mantenimento della persistenza all'interno di un sistema macOS infetto tramite l'uso di un LaunchAgent. Il malware viene distribuito tramite un pacchetto di installazione denominato InstallerAlert, che rispecchia la funzionalità di 'FROSTYFERRET_UI'.

Espansione dei vettori di attacco oltre i candidati

Sebbene i campioni di FlexibleFerret siano stati distribuiti come pacchetti Apple Installer, il metodo preciso utilizzato per convincere le vittime a eseguirli rimane poco chiaro. Tuttavia, le prove suggeriscono che il malware viene propagato anche creando falsi problemi su repository GitHub legittimi. Questo cambiamento di tattica segnala una strategia di targeting più ampia che si estende oltre i candidati, puntando a sviluppatori e altri professionisti nel settore tecnologico.

Mentre gli autori di attacchi informatici nordcoreani continuano ad affinare i loro metodi ingannevoli, gli esperti di sicurezza invitano a prestare maggiore attenzione quando si interagisce con offerte di lavoro online e richieste di installazione di software.

Tendenza

I più visti

Caricamento in corso...