FERRET Malware

Menjelang Mezo pada Mac Malware

Terjemahkan ke

Koperasi siber Korea Utara di sebalik kempen Temu Bual Berjangkit telah didapati menggunakan jenis perisian hasad macOS yang secara kolektif digelar FERRET di bawah samaran proses temu duga kerja. Sasaran yang tidak curiga didorong untuk berkomunikasi dengan perekrut yang sepatutnya melalui pautan yang menghasilkan mesej ralat, mendorong mereka untuk memasang atau mengemas kini perisian seperti VCam atau CameraAccess untuk meneruskan temu duga.

Isi kandungan

Temu Bual Tular: Usaha Pengintipan Siber yang Berterusan

Pada mulanya ditemui pada penghujung 2023, Wawancara Berjangkit mewakili kempen berterusan yang bertujuan untuk menjangkiti mangsa melalui pakej npm yang mengelirukan dan aplikasi asli yang menyamar sebagai perisian persidangan video. Kempen itu, juga dijejaki di bawah nama seperti DeceptiveDevelopment dan DEV#POPPER, terus berkembang, menggunakan taktik yang semakin canggih.

Menggugurkan BeaverTail dan InvisibleFerret

Urutan serangan biasanya menghasilkan penggunaan BeaverTail, perisian hasad berasaskan JavaScript yang direka untuk mengekstrak data sensitif daripada pelayar dan dompet mata wang kripto. Malware ini juga bertindak sebagai mekanisme penghantaran untuk muatan tambahan—pintu belakang berasaskan Python yang dikenali sebagai InvisibleFerret.

OtterCookie: Satu Lagi Lapisan Aktiviti Memudaratkan

Pada Disember 2024, penyelidik keselamatan siber dari Jepun mengenal pasti komponen lain dalam rantaian serangan: varian perisian hasad bernama OtterCookie . Malware JavaScript ini dikonfigurasikan untuk mengambil dan melaksanakan muatan berbahaya tambahan, mengembangkan lagi keupayaan jangkitan.

Memperhalusi Taktik Mengelak dengan Penipuan Gaya ClickFix

Apabila keluarga perisian hasad FERRET ditemui menjelang akhir tahun 2024, penyelidik menyatakan bahawa penyerang sedang memperhalusi kaedah mereka untuk mengelak pengesanan dengan lebih baik. Satu teknik yang ketara melibatkan pendekatan gaya ClickFix, menipu pengguna untuk menyalin dan melaksanakan arahan yang tidak selamat dalam aplikasi Terminal macOS dengan alasan untuk menyelesaikan isu capaian kamera dan mikrofon.

Menyasarkan Pencari Kerja Melalui LinkedIn

Fasa awal serangan ini selalunya bermula dengan jangkauan LinkedIn, di mana pelakon ancaman menyamar sebagai perekrut. Matlamat utama mereka adalah untuk memujuk bakal mangsa untuk menjalani penilaian video, yang akhirnya membawa kepada pemasangan pintu belakang berasaskan Golang. Perisian hasad ini amat berbahaya, direka untuk mengalirkan dana mata wang kripto daripada Dompet MetaMask sambil turut membenarkan penyerang melakukan arahan pada peranti yang terjejas.

Memecahkan Komponen Perisian Hasad FERRET

Penyelidik telah mengenal pasti beberapa komponen yang dikaitkan dengan keluarga perisian hasad FERRET, setiap satu mempunyai fungsi yang berbeza dalam urutan serangan:

FROSTYFERRET_UI: Muatan peringkat awal, sering menyamar sebagai aplikasi ChromeUpdate atau CameraAccess.
FRIENDLYFERRET_SECD: Pintu belakang berasaskan Go sekunder yang dikenali sebagai 'com.apple.secd,' sebelum ini dikaitkan dengan kempen Risiko Tersembunyi yang menyasarkan perniagaan mata wang kripto.
MULTI_FROSTYFERRET_CMDCODES: Fail konfigurasi Go yang menyokong kefungsian pintu belakang peringkat dua.

FlexibleFerret: Mewujudkan Kegigihan pada macOS

Satu set artifak perisian hasad yang berasingan, yang dirujuk sebagai FlexibleFerret, juga telah ditemui. Varian ini memfokuskan pada mengekalkan kegigihan dalam sistem macOS yang dijangkiti melalui penggunaan LaunchAgent. Malware dihantar melalui pakej pemasang bernama InstallerAlert, mencerminkan kefungsian 'FROSTYFERRET_UI.'

Meluaskan Vektor Serangan Melangkaui Pencari Kerja

Walaupun sampel FlexibleFerret diedarkan sebagai pakej Apple Installer, kaedah tepat yang digunakan untuk meyakinkan mangsa untuk melaksanakannya masih tidak jelas. Walau bagaimanapun, bukti menunjukkan bahawa perisian hasad itu juga disebarkan dengan mencipta isu palsu pada repositori GitHub yang sah. Peralihan dalam taktik ini menandakan strategi penyasaran yang lebih luas yang melangkaui pencari kerja, menyasarkan kepada pembangun dan profesional lain dalam industri teknologi.

Semasa pelakon siber Korea Utara terus memperhalusi kaedah menipu mereka, pakar keselamatan menggesa kewaspadaan yang lebih tinggi apabila terlibat dengan tawaran kerja dalam talian dan gesaan pemasangan perisian.

Pemproses Pembayaran EnigmaSoft Pemfailan Digital River GmbH untuk Kebankrapan Tidak Menjejas Perlindungan Anti-Hasad Pelanggan SpyHunter

Cari

Tukar Wilayah

FERRET Malware

Temu Bual Tular: Usaha Pengintipan Siber yang Berterusan

Menggugurkan BeaverTail dan InvisibleFerret

OtterCookie: Satu Lagi Lapisan Aktiviti Memudaratkan

Memperhalusi Taktik Mengelak dengan Penipuan Gaya ClickFix

Menyasarkan Pencari Kerja Melalui LinkedIn

Memecahkan Komponen Perisian Hasad FERRET

FlexibleFerret: Mewujudkan Kegigihan pada macOS

Meluaskan Vektor Serangan Melangkaui Pencari Kerja

hantar komen

Trending

AlrustiqApp

Perisian Hasad Pintu Belakang SlowStepper

American Express - Penipuan E-mel Transaksi Tidak...

Paling banyak dilihat

Penipuan E-mel 'Geek Squad'

Timbul Timbul 'iPhone Anda Telah Digodam'

'Jika Anda berumur 18 Ketik Benarkan' Pop timbul