FERRET मालवेयर
संक्रामक अन्तर्वार्ता अभियान पछाडि उत्तर कोरियाली साइबर अपरेटिभहरूले जागिर अन्तर्वार्ता प्रक्रियाको आडमा सामूहिक रूपमा FERRET भनिने macOS मालवेयर स्ट्रेनहरू प्रयोग गरेको पाइएको छ। शंकास्पद लक्षितहरूलाई एक लिङ्क मार्फत एक कथित भर्तीकर्तासँग कुराकानी गर्न लगाइन्छ जसले त्रुटि सन्देश उत्पन्न गर्दछ, जसले तिनीहरूलाई अन्तर्वार्ता अगाडि बढाउन VCam वा CameraAccess जस्ता सफ्टवेयर स्थापना वा अद्यावधिक गर्न प्रेरित गर्दछ।
सामग्रीको तालिका
संक्रामक अन्तर्वार्ता: निरन्तर साइबर जासुसी प्रयास
२०२३ को अन्त्यतिर सुरुमा पत्ता लागेको, कन्टेगियस इन्टरभ्यूले भिडियो कन्फरेन्सिङ सफ्टवेयरको रूपमा प्रस्तुत गर्ने भ्रामक npm प्याकेजहरू र नेटिभ एप्लिकेसनहरू मार्फत पीडितहरूलाई संक्रमित गर्ने उद्देश्यले निरन्तर अभियानको प्रतिनिधित्व गर्दछ। DeceptiveDevelopment र DEV#POPPER जस्ता नामहरू अन्तर्गत पनि ट्र्याक गरिएको यो अभियान, बढ्दो रूपमा परिष्कृत रणनीतिहरू प्रयोग गर्दै विकसित हुँदै गइरहेको छ।
बिभरटेल र इनभिजिबलफेरेट छोड्दै
आक्रमणको क्रमले सामान्यतया BeaverTail को तैनाती निम्त्याउँछ, जुन ब्राउजरहरू र क्रिप्टोकरेन्सी वालेटहरूबाट संवेदनशील डेटा निकाल्न डिजाइन गरिएको जाभास्क्रिप्ट-आधारित मालवेयर हो। यो मालवेयरले अतिरिक्त पेलोडको लागि डेलिभरी संयन्त्रको रूपमा पनि काम गर्दछ - पाइथन-आधारित ब्याकडोर जसलाई InvisibleFerret भनिन्छ।
ओटरकुकी: हानिकारक गतिविधिको अर्को तह
डिसेम्बर २०२४ मा, जापानका साइबरसुरक्षा अनुसन्धानकर्ताहरूले आक्रमण शृङ्खलामा अर्को घटक पहिचान गरे: ओटरकुकी नामक मालवेयर संस्करण। यो जाभास्क्रिप्ट मालवेयर थप हानिकारक पेलोडहरू ल्याउन र कार्यान्वयन गर्न कन्फिगर गरिएको छ, जसले संक्रमणको क्षमताहरूलाई अझ विस्तार गर्दछ।
क्लिकफिक्स-शैली छलकपटको साथ चोरी रणनीतिहरूलाई परिष्कृत गर्दै
२०२४ को अन्त्यतिर जब FERRET मालवेयर परिवार पत्ता लाग्यो, अनुसन्धानकर्ताहरूले उल्लेख गरे कि आक्रमणकारीहरूले पत्ता लगाउनबाट बच्न आफ्नो विधिहरू परिष्कृत गरिरहेका थिए। एउटा उल्लेखनीय प्रविधिमा क्लिकफिक्स-शैलीको दृष्टिकोण समावेश छ, जसले प्रयोगकर्ताहरूलाई क्यामेरा र माइक्रोफोन पहुँच समस्याहरू समाधान गर्ने बहानामा macOS टर्मिनल अनुप्रयोगमा असुरक्षित आदेश प्रतिलिपि गर्न र कार्यान्वयन गर्न ठग्छ।
LinkedIn मार्फत जागिर खोज्नेहरूलाई लक्षित गर्दै
यी आक्रमणहरूको प्रारम्भिक चरण प्रायः लिंक्डइन आउटरिचबाट सुरु हुन्छ, जहाँ धम्की दिने व्यक्तिहरू भर्तीकर्ताको रूपमा प्रस्तुत हुन्छन्। तिनीहरूको प्राथमिक लक्ष्य सम्भावित पीडितहरूलाई भिडियो मूल्याङ्कन गर्न मनाउनु हो, जसले अन्ततः गोलङ-आधारित ब्याकडोर स्थापनामा पुर्याउँछ। यो मालवेयर विशेष गरी कपटी छ, जुन मेटामास्क वालेटबाट क्रिप्टोकरेन्सी कोष निकाल्न डिजाइन गरिएको हो र आक्रमणकारीहरूलाई सम्झौता गरिएको उपकरणमा आदेशहरू प्रदर्शन गर्न पनि अनुमति दिन्छ।
FERRET मालवेयर कम्पोनेन्टहरू तोड्दै
अनुसन्धानकर्ताहरूले FERRET मालवेयर परिवारसँग सम्बन्धित धेरै घटकहरू पहिचान गरेका छन्, प्रत्येकले आक्रमण अनुक्रममा फरक कार्य गर्दछ:
- FROSTYFERRET_UI: प्रारम्भिक-चरणको पेलोड, प्रायः ChromeUpdate वा CameraAccess अनुप्रयोगहरूको रूपमा भेषमा।
- FRIENDLYFERRET_SECD: 'com.apple.secd' भनेर चिनिने माध्यमिक गो-आधारित ब्याकडोर, पहिले क्रिप्टोकरेन्सी व्यवसायहरूलाई लक्षित गर्ने हिडन रिस्क अभियानसँग जोडिएको थियो।
- MULTI_FROSTYFERRET_CMDCODES: दोस्रो चरणको ब्याकडोर कार्यक्षमतालाई समर्थन गर्ने गो कन्फिगरेसन फाइल।
फ्लेक्सिबलफेरेट: म्याकोसमा स्थायित्व स्थापना गर्दै
फ्लेक्सिबलफेरेट भनेर चिनिने मालवेयर कलाकृतिहरूको एक छुट्टै सेट पनि पत्ता लागेको छ। यो भेरियन्टले LaunchAgent को प्रयोग मार्फत संक्रमित macOS प्रणाली भित्र स्थिरता कायम राख्नमा केन्द्रित छ। मालवेयर 'FROSTYFERRET_UI' को कार्यक्षमतालाई प्रतिबिम्बित गर्दै, InstallerAlert नामक स्थापनाकर्ता प्याकेज मार्फत डेलिभर गरिन्छ।
जागिर खोज्नेहरूभन्दा बाहिर आक्रमण भेक्टरहरू विस्तार गर्दै
फ्लेक्सिबलफेरेट नमूनाहरू एप्पल इन्स्टलर प्याकेजको रूपमा वितरण गरिएको भए तापनि, पीडितहरूलाई तिनीहरूलाई कार्यान्वयन गर्न मनाउन प्रयोग गरिएको सटीक विधि अझै स्पष्ट छैन। यद्यपि, प्रमाणहरूले सुझाव दिन्छ कि वैध GitHub भण्डारहरूमा नक्कली मुद्दाहरू सिर्जना गरेर मालवेयर पनि प्रचार गरिएको छ। रणनीतिमा यो परिवर्तनले विकासकर्ताहरू र प्राविधिक उद्योग भित्रका अन्य पेशेवरहरूलाई लक्षित गर्दै जागिर खोज्नेहरूभन्दा बाहिर फैलिएको फराकिलो लक्ष्यीकरण रणनीतिलाई संकेत गर्दछ।
उत्तर कोरियाली साइबर अभिनेताहरूले आफ्ना भ्रामक तरिकाहरूलाई परिष्कृत गर्दै जाँदा, सुरक्षा विज्ञहरूले अनलाइन जागिर प्रस्तावहरू र सफ्टवेयर स्थापना प्रम्प्टहरूमा संलग्न हुँदा सतर्कता बढाउन आग्रह गर्छन्।
