FERRET Ļaunprātīga programmatūra
Tika konstatēts, ka Ziemeļkorejas kiberdarbinieki, kas ir aizsākuši kampaņu Contagious Interview, darba intervijas procesa aizsegā izvieto macOS ļaunprogrammatūras celmus, kas kopīgi nodēvēti par FERRET. Nenodomīgie mērķi tiek mudināti sazināties ar iespējamo vervētāju, izmantojot saiti, kas ģenerē kļūdas ziņojumu, liekot viņiem instalēt vai atjaunināt programmatūru, piemēram, VCam vai CameraAccess, lai turpinātu interviju.
Satura rādītājs
Lipīga intervija: pastāvīgs kiberspiegošanas darbs
Sākotnēji atklātā 2023. gada beigās, Contagious Interview ir ilgstoša kampaņa, kuras mērķis ir inficēt upurus, izmantojot maldinošas npm pakotnes un vietējās lietojumprogrammas, kas tiek izmantotas kā videokonferenču programmatūra. Kampaņa, kas tiek izsekota arī ar tādiem nosaukumiem kā DeceptiveDevelopment un DEV#POPPER, turpina attīstīties, izmantojot arvien sarežģītāku taktiku.
Nomet BeaverTail un InvisibleFerret
Uzbrukuma secība parasti izraisa BeaverTail — uz JavaScript balstītu ļaunprātīgu programmatūru, kas paredzēta sensitīvu datu iegūšanai no pārlūkprogrammām un kriptovalūtas makiem. Šī ļaunprogrammatūra darbojas arī kā papildu slodzes piegādes mehānisms — uz Python balstītas aizmugures durvis, kas pazīstamas kā InvisibleFerret.
OtterCookie: vēl viens kaitīgas darbības slānis
2024. gada decembrī kiberdrošības pētnieki no Japānas identificēja vēl vienu uzbrukuma ķēdes komponentu: ļaunprātīgas programmatūras variantu ar nosaukumu OtterCookie . Šī JavaScript ļaunprātīgā programmatūra ir konfigurēta, lai iegūtu un izpildītu papildu kaitīgas slodzes, vēl vairāk paplašinot infekcijas iespējas.
Izvairīšanās taktikas uzlabošana ar ClickFix stila maldināšanu
Kad FERRET ļaunprātīgas programmatūras saime tika atklāta 2024. gada beigās, pētnieki atzīmēja, ka uzbrucēji pilnveidoja savas metodes, lai labāk izvairītos no atklāšanas. Viens no ievērojamākajiem paņēmieniem ir ClickFix stila pieeja, kas liek lietotājiem kopēt un izpildīt nedrošu komandu macOS termināļa lietojumprogrammā, aizbildinoties, ka tiek atrisinātas kameras un mikrofona piekļuves problēmas.
Mērķauditorijas atlase darba meklētājiem, izmantojot LinkedIn
Šo uzbrukumu sākotnējā fāze bieži sākas ar LinkedIn izplatību, kur draudu dalībnieki uzdodas kā vervētāji. Viņu galvenais mērķis ir pārliecināt potenciālos upurus veikt video novērtējumu, kas galu galā noved pie Golangas aizmugures durvju uzstādīšanas. Šī ļaunprogrammatūra ir īpaši mānīga, kas paredzēta kriptovalūtas līdzekļu iztukšošanai no MetaMask Wallets, vienlaikus ļaujot uzbrucējiem izpildīt komandas apdraudētajā ierīcē.
FERRET ļaunprātīgas programmatūras komponentu sadalīšana
Pētnieki ir identificējuši vairākus komponentus, kas saistīti ar FERRET ļaunprātīgas programmatūras saimi, un katrs no tiem pilda atsevišķu funkciju uzbrukuma secībā:
- FROSTYFERRET_UI: sākotnējā posma lietderīgā slodze, kas bieži tiek maskēta kā ChromeUpdate vai CameraAccess lietojumprogrammas.
- FRIENDLYFERRET_SECD: sekundāra Go-balstīta aizmugures durvis, kas pazīstamas kā “com.apple.secd”, kas iepriekš bija saistītas ar slēptā riska kampaņu, kuras mērķauditorija ir kriptovalūtas uzņēmumi.
- MULTI_FROSTYFERRET_CMDCODES: Go konfigurācijas fails, kas atbalsta otrā posma aizmugures durvju funkcionalitāti.
FlexibleFerret: noturības noteikšana operētājsistēmā MacOS
Ir atklāts arī atsevišķs ļaunprātīgas programmatūras artefaktu kopums, ko dēvē par FlexibleFerret. Šis variants ir vērsts uz noturības saglabāšanu inficētā macOS sistēmā, izmantojot LaunchAgent. Ļaunprātīga programmatūra tiek piegādāta, izmantojot instalēšanas pakotni InstallerAlert, kas atspoguļo FROSTYFERRET_UI funkcionalitāti.
Uzbrukumu vektoru paplašināšana ārpus darba meklētājiem
Lai gan FlexibleFerret paraugi tika izplatīti kā Apple Installer pakotnes, precīza metode, kas izmantota, lai pārliecinātu upurus tos izpildīt, joprojām nav skaidra. Tomēr pierādījumi liecina, ka ļaunprātīga programmatūra tiek izplatīta arī, radot viltus problēmas likumīgās GitHub krātuvēs. Šī taktikas maiņa liecina par plašāku mērķauditorijas atlases stratēģiju, kas attiecas ne tikai uz darba meklētājiem, bet ir vērsta uz izstrādātājiem un citiem tehnoloģiju nozares profesionāļiem.
Kamēr Ziemeļkorejas kiberaktori turpina pilnveidot savas maldinošās metodes, drošības eksperti mudina būt modriem, iesaistoties tiešsaistes darba piedāvājumos un programmatūras instalēšanas uzvednēs.
