FERRET ਮਾਲਵੇਅਰ
ਕੰਟੇਜੀਅਸ ਇੰਟਰਵਿਊ ਮੁਹਿੰਮ ਦੇ ਪਿੱਛੇ ਉੱਤਰੀ ਕੋਰੀਆਈ ਸਾਈਬਰ ਆਪਰੇਟਿਵਾਂ ਨੂੰ ਨੌਕਰੀ ਇੰਟਰਵਿਊ ਪ੍ਰਕਿਰਿਆ ਦੀ ਆੜ ਵਿੱਚ ਸਮੂਹਿਕ ਤੌਰ 'ਤੇ FERRET ਨਾਮਕ macOS ਮਾਲਵੇਅਰ ਸਟ੍ਰੇਨ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਪਾਇਆ ਗਿਆ ਹੈ। ਸ਼ੱਕੀ ਟਾਰਗੇਟਾਂ ਨੂੰ ਇੱਕ ਲਿੰਕ ਰਾਹੀਂ ਇੱਕ ਕਥਿਤ ਭਰਤੀ ਕਰਨ ਵਾਲੇ ਨਾਲ ਸੰਚਾਰ ਕਰਨ ਲਈ ਪ੍ਰੇਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜੋ ਇੱਕ ਗਲਤੀ ਸੁਨੇਹਾ ਪੈਦਾ ਕਰਦਾ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਇੰਟਰਵਿਊ ਨਾਲ ਅੱਗੇ ਵਧਣ ਲਈ VCam ਜਾਂ CameraAccess ਵਰਗੇ ਸੌਫਟਵੇਅਰ ਨੂੰ ਸਥਾਪਤ ਜਾਂ ਅਪਡੇਟ ਕਰਨ ਲਈ ਪ੍ਰੇਰਿਤ ਕਰਦਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਛੂਤਕਾਰੀ ਇੰਟਰਵਿਊ: ਇੱਕ ਨਿਰੰਤਰ ਸਾਈਬਰ ਜਾਸੂਸੀ ਯਤਨ
2023 ਦੇ ਅਖੀਰ ਵਿੱਚ ਸ਼ੁਰੂ ਵਿੱਚ ਸਾਹਮਣੇ ਆਇਆ, ਕੰਟੈਜੀਅਸ ਇੰਟਰਵਿਊ ਇੱਕ ਨਿਰੰਤਰ ਮੁਹਿੰਮ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ ਜਿਸਦਾ ਉਦੇਸ਼ ਪੀੜਤਾਂ ਨੂੰ ਧੋਖੇਬਾਜ਼ npm ਪੈਕੇਜਾਂ ਅਤੇ ਵੀਡੀਓ ਕਾਨਫਰੰਸਿੰਗ ਸੌਫਟਵੇਅਰ ਵਜੋਂ ਪੇਸ਼ ਕਰਨ ਵਾਲੇ ਮੂਲ ਐਪਲੀਕੇਸ਼ਨਾਂ ਰਾਹੀਂ ਸੰਕਰਮਿਤ ਕਰਨਾ ਹੈ। ਇਹ ਮੁਹਿੰਮ, ਜਿਸਨੂੰ DeceptiveDevelopment ਅਤੇ DEV#POPPER ਵਰਗੇ ਨਾਵਾਂ ਹੇਠ ਵੀ ਟਰੈਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਵਿਕਸਤ ਹੋ ਰਹੀ ਹੈ, ਵਧਦੀ ਸੂਝਵਾਨ ਰਣਨੀਤੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ।
ਬੀਵਰਟੇਲ ਅਤੇ ਇਨਵਿਜ਼ੀਬਲਫੇਰੇਟ ਨੂੰ ਛੱਡਣਾ
ਹਮਲੇ ਦੇ ਕ੍ਰਮ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਆਮ ਤੌਰ 'ਤੇ ਬੀਵਰਟੇਲ ਦੀ ਤੈਨਾਤੀ ਹੁੰਦੀ ਹੈ, ਇੱਕ ਜਾਵਾ ਸਕ੍ਰਿਪਟ-ਅਧਾਰਤ ਮਾਲਵੇਅਰ ਜੋ ਬ੍ਰਾਊਜ਼ਰਾਂ ਅਤੇ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਵਾਲੇਟਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਕੱਢਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਮਾਲਵੇਅਰ ਇੱਕ ਵਾਧੂ ਪੇਲੋਡ ਲਈ ਇੱਕ ਡਿਲੀਵਰੀ ਵਿਧੀ ਵਜੋਂ ਵੀ ਕੰਮ ਕਰਦਾ ਹੈ - ਇੱਕ ਪਾਈਥਨ-ਅਧਾਰਤ ਬੈਕਡੋਰ ਜਿਸਨੂੰ ਇਨਵਿਜ਼ੀਬਲਫੇਰੇਟ ਕਿਹਾ ਜਾਂਦਾ ਹੈ।
ਓਟਰਕੂਕੀ: ਨੁਕਸਾਨਦੇਹ ਗਤੀਵਿਧੀ ਦੀ ਇੱਕ ਹੋਰ ਪਰਤ
ਦਸੰਬਰ 2024 ਵਿੱਚ, ਜਾਪਾਨ ਦੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਹਮਲੇ ਦੀ ਲੜੀ ਵਿੱਚ ਇੱਕ ਹੋਰ ਹਿੱਸੇ ਦੀ ਪਛਾਣ ਕੀਤੀ: ਓਟਰਕੂਕੀ ਨਾਮਕ ਇੱਕ ਮਾਲਵੇਅਰ ਰੂਪ। ਇਹ ਜਾਵਾ ਸਕ੍ਰਿਪਟ ਮਾਲਵੇਅਰ ਵਾਧੂ ਨੁਕਸਾਨਦੇਹ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਸੰਰਚਿਤ ਕੀਤਾ ਗਿਆ ਹੈ, ਜਿਸ ਨਾਲ ਲਾਗ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਹੋਰ ਵਧਦੀਆਂ ਹਨ।
ਕਲਿਕਫਿਕਸ-ਸ਼ੈਲੀ ਧੋਖੇ ਨਾਲ ਚੋਰੀ ਦੀਆਂ ਰਣਨੀਤੀਆਂ ਨੂੰ ਸੁਧਾਰਣਾ
ਜਦੋਂ 2024 ਦੇ ਅੰਤ ਵਿੱਚ FERRET ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਦੀ ਖੋਜ ਕੀਤੀ ਗਈ, ਤਾਂ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਨੋਟ ਕੀਤਾ ਕਿ ਹਮਲਾਵਰ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਆਪਣੇ ਤਰੀਕਿਆਂ ਨੂੰ ਸੁਧਾਰ ਰਹੇ ਸਨ। ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਤਕਨੀਕ ਵਿੱਚ ਇੱਕ ClickFix-ਸ਼ੈਲੀ ਦਾ ਤਰੀਕਾ ਸ਼ਾਮਲ ਹੈ, ਜੋ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਕੈਮਰਾ ਅਤੇ ਮਾਈਕ੍ਰੋਫੋਨ ਪਹੁੰਚ ਸਮੱਸਿਆਵਾਂ ਨੂੰ ਹੱਲ ਕਰਨ ਦੇ ਬਹਾਨੇ macOS ਟਰਮੀਨਲ ਐਪਲੀਕੇਸ਼ਨ ਵਿੱਚ ਇੱਕ ਅਸੁਰੱਖਿਅਤ ਕਮਾਂਡ ਦੀ ਨਕਲ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਧੋਖਾ ਦਿੰਦਾ ਹੈ।
ਲਿੰਕਡਇਨ ਰਾਹੀਂ ਨੌਕਰੀ ਲੱਭਣ ਵਾਲਿਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ
ਇਹਨਾਂ ਹਮਲਿਆਂ ਦਾ ਸ਼ੁਰੂਆਤੀ ਪੜਾਅ ਅਕਸਰ ਲਿੰਕਡਇਨ ਆਊਟਰੀਚ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ, ਜਿੱਥੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਵਿਅਕਤੀ ਭਰਤੀ ਕਰਨ ਵਾਲਿਆਂ ਵਜੋਂ ਪੇਸ਼ ਆਉਂਦੇ ਹਨ। ਉਹਨਾਂ ਦਾ ਮੁੱਖ ਟੀਚਾ ਸੰਭਾਵੀ ਪੀੜਤਾਂ ਨੂੰ ਵੀਡੀਓ ਮੁਲਾਂਕਣ ਕਰਵਾਉਣ ਲਈ ਮਨਾਉਣਾ ਹੈ, ਜੋ ਅੰਤ ਵਿੱਚ ਗੋਲੰਗ-ਅਧਾਰਤ ਬੈਕਡੋਰ ਦੀ ਸਥਾਪਨਾ ਵੱਲ ਲੈ ਜਾਂਦਾ ਹੈ। ਇਹ ਮਾਲਵੇਅਰ ਖਾਸ ਤੌਰ 'ਤੇ ਧੋਖੇਬਾਜ਼ ਹੈ, ਜੋ ਕਿ ਮੈਟਾਮਾਸਕ ਵਾਲਿਟ ਤੋਂ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਫੰਡਾਂ ਨੂੰ ਕੱਢਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ ਜਦੋਂ ਕਿ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਡਿਵਾਈਸ 'ਤੇ ਕਮਾਂਡਾਂ ਕਰਨ ਦੀ ਆਗਿਆ ਵੀ ਦਿੰਦਾ ਹੈ।
FERRET ਮਾਲਵੇਅਰ ਕੰਪੋਨੈਂਟਸ ਨੂੰ ਤੋੜਨਾ
ਖੋਜਕਰਤਾਵਾਂ ਨੇ FERRET ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਨਾਲ ਜੁੜੇ ਕਈ ਹਿੱਸਿਆਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਹਰੇਕ ਹਮਲੇ ਦੇ ਕ੍ਰਮ ਵਿੱਚ ਇੱਕ ਵੱਖਰਾ ਕਾਰਜ ਕਰਦਾ ਹੈ:
- FROSTYFERRET_UI: ਸ਼ੁਰੂਆਤੀ-ਪੜਾਅ ਦਾ ਪੇਲੋਡ, ਅਕਸਰ ChromeUpdate ਜਾਂ CameraAccess ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਬਦਲਦਾ ਹੈ।
- FRIENDLYFERRET_SECD: ਇੱਕ ਸੈਕੰਡਰੀ ਗੋ-ਅਧਾਰਤ ਬੈਕਡੋਰ ਜਿਸਨੂੰ 'com.apple.secd' ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜੋ ਪਹਿਲਾਂ ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਕਾਰੋਬਾਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀ ਲੁਕਵੀਂ ਜੋਖਮ ਮੁਹਿੰਮ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਸੀ।
- MULTI_FROSTYFERRET_CMDCODES: ਇੱਕ Go ਸੰਰਚਨਾ ਫਾਈਲ ਜੋ ਦੂਜੇ ਪੜਾਅ ਦੇ ਬੈਕਡੋਰ ਕਾਰਜਸ਼ੀਲਤਾ ਦਾ ਸਮਰਥਨ ਕਰਦੀ ਹੈ।
ਫਲੈਕਸੀਬਲਫੈਰੇਟ: ਮੈਕੋਸ 'ਤੇ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਨਾ
ਮਾਲਵੇਅਰ ਆਰਟੀਫੈਕਟਸ ਦਾ ਇੱਕ ਵੱਖਰਾ ਸੈੱਟ, ਜਿਸਨੂੰ ਫਲੈਕਸੀਬਲਫੇਰੇਟ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਦੀ ਵੀ ਖੋਜ ਕੀਤੀ ਗਈ ਹੈ। ਇਹ ਵੇਰੀਐਂਟ ਇੱਕ LaunchAgent ਦੀ ਵਰਤੋਂ ਦੁਆਰਾ ਇੱਕ ਸੰਕਰਮਿਤ macOS ਸਿਸਟਮ ਦੇ ਅੰਦਰ ਸਥਿਰਤਾ ਬਣਾਈ ਰੱਖਣ 'ਤੇ ਕੇਂਦ੍ਰਤ ਕਰਦਾ ਹੈ। ਮਾਲਵੇਅਰ ਨੂੰ InstallerAlert ਨਾਮਕ ਇੱਕ ਇੰਸਟਾਲਰ ਪੈਕੇਜ ਰਾਹੀਂ ਡਿਲੀਵਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ 'FROSTYFERRET_UI' ਦੀ ਕਾਰਜਸ਼ੀਲਤਾ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।
ਨੌਕਰੀ ਲੱਭਣ ਵਾਲਿਆਂ ਤੋਂ ਪਰੇ ਹਮਲੇ ਦੇ ਵੈਕਟਰਾਂ ਦਾ ਵਿਸਤਾਰ ਕਰਨਾ
ਜਦੋਂ ਕਿ ਫਲੈਕਸੀਬਲਫੈਰੇਟ ਨਮੂਨੇ ਐਪਲ ਇੰਸਟੌਲਰ ਪੈਕੇਜਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਵੰਡੇ ਗਏ ਸਨ, ਪੀੜਤਾਂ ਨੂੰ ਉਹਨਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਮਨਾਉਣ ਲਈ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਸਹੀ ਤਰੀਕਾ ਅਜੇ ਵੀ ਅਸਪਸ਼ਟ ਹੈ। ਹਾਲਾਂਕਿ, ਸਬੂਤ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ ਮਾਲਵੇਅਰ ਨੂੰ ਜਾਇਜ਼ GitHub ਰਿਪੋਜ਼ਟਰੀਆਂ 'ਤੇ ਨਕਲੀ ਮੁੱਦੇ ਬਣਾ ਕੇ ਵੀ ਪ੍ਰਚਾਰਿਆ ਜਾ ਰਿਹਾ ਹੈ। ਰਣਨੀਤੀਆਂ ਵਿੱਚ ਇਹ ਤਬਦੀਲੀ ਇੱਕ ਵਿਆਪਕ ਨਿਸ਼ਾਨਾ ਰਣਨੀਤੀ ਦਾ ਸੰਕੇਤ ਦਿੰਦੀ ਹੈ ਜੋ ਨੌਕਰੀ ਲੱਭਣ ਵਾਲਿਆਂ ਤੋਂ ਪਰੇ ਫੈਲਦੀ ਹੈ, ਤਕਨੀਕੀ ਉਦਯੋਗ ਦੇ ਅੰਦਰ ਡਿਵੈਲਪਰਾਂ ਅਤੇ ਹੋਰ ਪੇਸ਼ੇਵਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀ ਹੈ।
ਜਿਵੇਂ ਕਿ ਉੱਤਰੀ ਕੋਰੀਆਈ ਸਾਈਬਰ ਐਕਟਰ ਆਪਣੇ ਧੋਖੇਬਾਜ਼ ਤਰੀਕਿਆਂ ਨੂੰ ਸੁਧਾਰਦੇ ਰਹਿੰਦੇ ਹਨ, ਸੁਰੱਖਿਆ ਮਾਹਰ ਔਨਲਾਈਨ ਨੌਕਰੀ ਦੀਆਂ ਪੇਸ਼ਕਸ਼ਾਂ ਅਤੇ ਸੌਫਟਵੇਅਰ ਸਥਾਪਨਾ ਪ੍ਰੋਂਪਟਾਂ ਨਾਲ ਜੁੜਦੇ ਸਮੇਂ ਵਧੇਰੇ ਚੌਕਸੀ ਦੀ ਅਪੀਲ ਕਰਦੇ ਹਨ।
