Rabatttilbud for flere lisenser
Trusseldatabase Mac Malware FERRET Malware

FERRET Malware

Med Mezo i Mac Malware
Oversett til:
Norsk

Nordkoreanske cyberoperatører bak Contagious Interview-kampanjen har blitt funnet å distribuere macOS malware-stammer som kollektivt kalles FERRET under dekke av en jobbintervjuprosess. Intetanende mål blir ført til å kommunisere med en antatt rekrutterer via en lenke som genererer en feilmelding, som ber dem om å installere eller oppdatere programvare som VCam eller CameraAccess for å fortsette med intervjuet.

Smittsomt intervju: En vedvarende cyberspionasjeinnsats

Opprinnelig avdekket i slutten av 2023, representerer Contagious Interview en vedvarende kampanje rettet mot å infisere ofre gjennom villedende npm-pakker og native applikasjoner som fremstår som videokonferanseprogramvare. Kampanjen, som også spores under navn som DeceptiveDevelopment og DEV#POPPER, fortsetter å utvikle seg, og bruker stadig mer sofistikerte taktikker.

Slipper BeaverTail og InvisibleFerret

Angrepssekvensen resulterer vanligvis i distribusjon av BeaverTail, en JavaScript-basert skadelig programvare designet for å trekke ut sensitive data fra nettlesere og kryptovaluta-lommebøker. Denne skadevaren fungerer også som en leveringsmekanisme for en ekstra nyttelast – en Python-basert bakdør kjent som InvisibleFerret.

OtterCookie: Et annet lag med skadelig aktivitet

I desember 2024 identifiserte cybersikkerhetsforskere fra Japan en annen komponent i angrepskjeden: en malware-variant ved navn OtterCookie . Denne JavaScript-skadevare er konfigurert til å hente og utføre ytterligere skadelige nyttelaster, og utvide infeksjonens evner ytterligere.

Avgrens unndragelsestaktikker med ClickFix-stilbedrag

Da FERRET-malwarefamilien ble oppdaget mot slutten av 2024, la forskere merke til at angripere raffinerte metodene sine for bedre å unngå oppdagelse. En bemerkelsesverdig teknikk involverer en ClickFix-tilnærming, som lurer brukere til å kopiere og utføre en usikker kommando i macOS Terminal-applikasjonen under påskudd av å løse problemer med kamera- og mikrofontilgang.

Målretting av jobbsøkere gjennom LinkedIn

Den innledende fasen av disse angrepene begynner ofte med LinkedIn-oppsøking, der trusselaktører utgjør rekrutterere. Deres primære mål er å overtale potensielle ofre til å gjennomgå en videovurdering, som til slutt fører til installasjon av en Golang-basert bakdør. Denne skadevaren er spesielt lumsk, designet for å tappe kryptovalutamidler fra MetaMask-lommebøker samtidig som den lar angripere utføre kommandoer på den kompromitterte enheten.

Bryte ned FERRET-malware-komponentene

Forskere har identifisert flere komponenter assosiert med FERRET malware-familien, som hver har en egen funksjon i angrepssekvensen:

  • FROSTYFERRET_UI: Nyttelasten i første fase, ofte forkledd som ChromeUpdate- eller CameraAccess-applikasjoner.
  • FRIENDLYFERRET_SECD: En sekundær Go-basert bakdør kjent som 'com.apple.secd', tidligere knyttet til Hidden Risk-kampanjen rettet mot kryptovalutabedrifter.
  • MULTI_FROSTYFERRET_CMDCODES: En Go-konfigurasjonsfil som støtter trinn to bakdørsfunksjonalitet.

FlexibleFerret: Etablering av utholdenhet på macOS

Et eget sett med skadevareartefakter, referert til som FlexibleFerret, har også blitt oppdaget. Denne varianten fokuserer på å opprettholde utholdenhet i et infisert macOS-system gjennom bruk av en LaunchAgent. Skadevaren leveres via en installasjonspakke kalt InstallerAlert, som gjenspeiler funksjonaliteten til 'FROSTYFERRET_UI.'

Utvide angrepsvektorer utover jobbsøkere

Mens FlexibleFerret-prøvene ble distribuert som Apple Installer-pakker, er den nøyaktige metoden som ble brukt for å overbevise ofrene om å henrette dem, fortsatt uklar. Imidlertid tyder bevis på at skadelig programvare også spres ved å lage falske problemer på legitime GitHub-depoter. Dette skiftet i taktikk signaliserer en bredere målrettingsstrategi som strekker seg utover jobbsøkere, rettet mot utviklere og andre fagfolk innen teknologibransjen.

Mens nordkoreanske cyberaktører fortsetter å avgrense sine villedende metoder, oppfordrer sikkerhetseksperter til økt årvåkenhet når de engasjerer seg med jobbtilbud på nettet og forespørsler om programvareinstallasjon.

Trender

Mest sett

Laster inn...