Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mac-malware FERRET-malware

FERRET-malware

Tegen Mezo in Mac-malware
Vertalen naar:
Nederlands

Noord-Koreaanse cyberagenten achter de Contagious Interview-campagne zijn betrapt op het inzetten van macOS-malwarestammen die gezamenlijk FERRET worden genoemd, onder het mom van een sollicitatiegesprek. Nietsvermoedende doelen worden via een link naar een vermeende recruiter geleid, die een foutmelding genereert, waarin ze worden gevraagd software zoals VCam of CameraAccess te installeren of bij te werken om door te gaan met het interview.

Besmettelijk interview: een aanhoudende cyber-spionage-inspanning

Het Contagious Interview, dat voor het eerst eind 2023 werd ontdekt, vertegenwoordigt een aanhoudende campagne die gericht is op het infecteren van slachtoffers via misleidende npm-pakketten en native applicaties die zich voordoen als videoconferentiesoftware. De campagne, die ook wordt gevolgd onder namen als DeceptiveDevelopment en DEV#POPPER, blijft evolueren en maakt gebruik van steeds geavanceerdere tactieken.

BeaverTail en InvisibleFerret laten vallen

De aanvalssequentie resulteert doorgaans in de inzet van BeaverTail, een op JavaScript gebaseerde malware die is ontworpen om gevoelige gegevens uit browsers en cryptocurrency wallets te halen. Deze malware fungeert ook als een leveringsmechanisme voor een extra payload: een op Python gebaseerde backdoor die bekendstaat als InvisibleFerret.

OtterCookie: een andere laag schadelijke activiteit

In december 2024 identificeerden cybersecurity-onderzoekers uit Japan een ander onderdeel in de aanvalsketen: een malwarevariant genaamd OtterCookie . Deze JavaScript-malware is geconfigureerd om extra schadelijke payloads op te halen en uit te voeren, waardoor de mogelijkheden van de infectie verder worden uitgebreid.

Het verfijnen van ontwijkingsstrategieën met ClickFix-stijl bedrog

Toen de FERRET-malwarefamilie eind 2024 werd ontdekt, merkten onderzoekers op dat aanvallers hun methoden aan het verfijnen waren om detectie beter te omzeilen. Een opvallende techniek omvat een ClickFix-achtige aanpak, waarbij gebruikers worden misleid om een onveilige opdracht te kopiëren en uit te voeren in de macOS Terminal-applicatie onder het voorwendsel dat problemen met de toegang tot de camera en microfoon moeten worden opgelost.

Werkzoekenden targeten via LinkedIn

De eerste fase van deze aanvallen begint vaak met LinkedIn outreach, waarbij dreigingsactoren zich voordoen als recruiters. Hun primaire doel is om potentiële slachtoffers te overtuigen om een videobeoordeling te ondergaan, wat uiteindelijk leidt tot de installatie van een op Golang gebaseerde backdoor. Deze malware is bijzonder verraderlijk en is ontworpen om cryptocurrency-fondsen uit MetaMask Wallets te halen, terwijl aanvallers ook opdrachten op het gecompromitteerde apparaat kunnen uitvoeren.

De FERRET-malwarecomponenten opsplitsen

Onderzoekers hebben verschillende componenten geïdentificeerd die verband houden met de FERRET-malwarefamilie. Elk component vervult een eigen functie in de aanvalsreeks:

  • FROSTYFERRET_UI: De payload in de beginfase, vaak vermomd als ChromeUpdate- of CameraAccess-toepassingen.
  • FRIENDLYFERRET_SECD: Een secundaire Go-gebaseerde backdoor, bekend als 'com.apple.secd', die eerder in verband werd gebracht met de Hidden Risk-campagne die gericht was op cryptovalutabedrijven.
  • MULTI_FROSTYFERRET_CMDCODES: Een Go-configuratiebestand dat backdoorfunctionaliteit in fase twee ondersteunt.

FlexibleFerret: persistentie instellen op macOS

Er is ook een aparte set malware-artefacten ontdekt, FlexibleFerret genaamd. Deze variant richt zich op het handhaven van persistentie binnen een geïnfecteerd macOS-systeem door gebruik te maken van een LaunchAgent. De malware wordt geleverd via een installatiepakket genaamd InstallerAlert, dat de functionaliteit van 'FROSTYFERRET_UI' weerspiegelt.

Uitbreiding van aanvalsvectoren buiten werkzoekenden

Hoewel de FlexibleFerret-samples werden verspreid als Apple Installer-pakketten, blijft de precieze methode die werd gebruikt om slachtoffers ervan te overtuigen ze uit te voeren onduidelijk. Er zijn echter aanwijzingen dat de malware ook wordt verspreid door nepproblemen te creëren op legitieme GitHub-repositories. Deze verschuiving in tactieken duidt op een bredere targetingstrategie die verder reikt dan werkzoekenden en zich richt op ontwikkelaars en andere professionals binnen de tech-industrie.

Terwijl Noord-Koreaanse cybercriminelen hun misleidende methoden blijven verfijnen, dringen veiligheidsexperts aan op verhoogde waakzaamheid bij het reageren op online vacatures en prompts voor software-installatie.

Trending

Meest bekeken

Bezig met laden...