Oferta rabatowa na wiele licencji
Baza danych zagrożeń Malware na Maca Oprogramowanie złośliwe FERRET

Oprogramowanie złośliwe FERRET

Do Mezo w Malware na Maca
Przetłumacz na:
Polski

Północnokoreańscy cyberoperatorzy stojący za kampanią Contagious Interview zostali przyłapani na wdrażaniu szczepów złośliwego oprogramowania macOS, zbiorczo określanych jako FERRET, pod przykrywką procesu rozmowy kwalifikacyjnej. Nieświadome cele są nakłaniane do komunikowania się z rzekomym rekruterem za pośrednictwem łącza, które generuje komunikat o błędzie, zachęcając ich do zainstalowania lub zaktualizowania oprogramowania, takiego jak VCam lub CameraAccess, aby kontynuować rozmowę kwalifikacyjną.

Wywiad zaraźliwy: nieustanna próba cybernetycznego szpiegostwa

Początkowo odkryta pod koniec 2023 r. Contagious Interview to ciągła kampania mająca na celu zarażanie ofiar za pomocą oszukańczych pakietów npm i natywnych aplikacji, które udają oprogramowanie do wideokonferencji. Kampania, śledzona również pod nazwami takimi jak DeceptiveDevelopment i DEV#POPPER, nadal ewoluuje, wykorzystując coraz bardziej wyrafinowane taktyki.

Upuszczanie BeaverTail i InvisibleFerret

Sekwencja ataku zazwyczaj skutkuje wdrożeniem BeaverTail, opartego na JavaScript złośliwego oprogramowania zaprojektowanego w celu wyodrębnienia poufnych danych z przeglądarek i portfeli kryptowalut. To złośliwe oprogramowanie działa również jako mechanizm dostarczania dodatkowego ładunku — opartego na Pythonie tylnego wejścia znanego jako InvisibleFerret.

OtterCookie: Kolejna warstwa szkodliwej aktywności

W grudniu 2024 r. badacze cyberbezpieczeństwa z Japonii zidentyfikowali kolejny komponent w łańcuchu ataku: wariant złośliwego oprogramowania o nazwie OtterCookie . To złośliwe oprogramowanie JavaScript jest skonfigurowane tak, aby pobierać i wykonywać dodatkowe szkodliwe ładunki, co jeszcze bardziej rozszerza możliwości infekcji.

Udoskonalanie taktyk unikania za pomocą oszustwa w stylu ClickFix

Gdy pod koniec 2024 r. odkryto rodzinę złośliwego oprogramowania FERRET, badacze zauważyli, że atakujący udoskonalają swoje metody, aby lepiej unikać wykrycia. Jedną z godnych uwagi technik jest podejście w stylu ClickFix, polegające na oszukiwaniu użytkowników, aby kopiowali i wykonywali niebezpieczne polecenie w aplikacji terminala macOS pod pretekstem rozwiązania problemów z dostępem do kamery i mikrofonu.

Kierowanie do osób poszukujących pracy za pośrednictwem LinkedIn

Początkowa faza tych ataków często zaczyna się od działań na LinkedIn, gdzie atakujący podszywają się pod rekruterów. Ich głównym celem jest przekonanie potencjalnych ofiar do poddania się ocenie wideo, co ostatecznie prowadzi do zainstalowania backdoora opartego na Golang. To złośliwe oprogramowanie jest szczególnie podstępne, zaprojektowane w celu wyczerpywania środków kryptowalutowych z portfeli MetaMask, a także umożliwiania atakującym wykonywania poleceń na zainfekowanym urządzeniu.

Rozkład składników złośliwego oprogramowania FERRET

Badacze zidentyfikowali kilka komponentów powiązanych z rodziną złośliwego oprogramowania FERRET, z których każdy pełni odrębną funkcję w sekwencji ataku:

  • FROSTYFERRET_UI: Początkowy ładunek, często zamaskowany jako aplikacja ChromeUpdate lub CameraAccess.
  • FRIENDLYFERRET_SECD: Drugie tylne wejście w języku Go znane jako „com.apple.secd”, wcześniej powiązane z kampanią Hidden Risk, mającą na celu firmy zajmujące się kryptowalutami.
  • MULTI_FROSTYFERRET_CMDCODES: Plik konfiguracyjny języka Go obsługujący funkcjonalność tylnego wejścia w etapie drugim.

FlexibleFerret: Ustanawianie trwałości w systemie macOS

Odkryto również oddzielny zestaw artefaktów malware, określany jako FlexibleFerret. Ta odmiana koncentruje się na utrzymywaniu trwałości w zainfekowanym systemie macOS za pomocą LaunchAgent. Malware jest dostarczany za pośrednictwem pakietu instalatora o nazwie InstallerAlert, odzwierciedlającego funkcjonalność „FROSTYFERRET_UI”.

Rozszerzanie wektorów ataków poza osoby poszukujące pracy

Podczas gdy próbki FlexibleFerret były dystrybuowane jako pakiety Apple Installer, dokładna metoda, której użyto, aby przekonać ofiary do ich wykonania, pozostaje niejasna. Jednak dowody sugerują, że złośliwe oprogramowanie jest również propagowane poprzez tworzenie fałszywych problemów w legalnych repozytoriach GitHub. Ta zmiana taktyki sygnalizuje szerszą strategię ukierunkowaną, która wykracza poza osoby poszukujące pracy, ukierunkowaną na programistów i innych profesjonalistów w branży technologicznej.

Podczas gdy północnokoreańscy cyberprzestępcy wciąż udoskonalają swoje metody oszustwa, eksperci ds. bezpieczeństwa apelują o wzmożoną czujność podczas przeglądania ofert pracy online i wyświetlania monitów o instalację oprogramowania.

Popularne

Najczęściej oglądane

Ładowanie...