Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware para Mac FERRET Malware

FERRET Malware

Por Mezo em Malware para Mac
Traduzir Para:
Português

Operadores cibernéticos norte-coreanos por trás da campanha Contagious Interview foram encontrados implantando cepas de malware macOS coletivamente apelidadas de FERRET sob o disfarce de um processo de entrevista de emprego. Alvos desavisados são levados a se comunicar com um suposto recrutador por meio de um link que gera uma mensagem de erro, solicitando que instalem ou atualizem software como VCam ou CameraAccess para prosseguir com a entrevista.

Contagious Interview: Um Esforço Persistente de Espionagem Cibernética

Inicialmente descoberta no final de 2023, a Contagious Interview representa uma campanha sustentada que visa infectar vítimas por meio de pacotes npm enganosos e aplicativos nativos que se passam por software de videoconferência. A campanha, também rastreada sob nomes como DeceptiveDevelopment e DEV#POPPER, continua a evoluir, empregando táticas cada vez mais sofisticadas.

Deixando de Lado o BeaverTail e o InvisibleFerret

A sequência de ataque normalmente resulta na implantação do BeaverTail, um malware baseado em JavaScript projetado para extrair dados sensíveis de navegadores e carteiras de criptomoedas. Esse malware também atua como um mecanismo de entrega para uma carga útil adicional — um backdoor baseado em Python conhecido como InvisibleFerret.

OtterCookie: Outra Camada de Atividade Prejudicial

Em dezembro de 2024, pesquisadores de segurança cibernética do Japão identificaram outro componente na cadeia de ataque: uma variante de malware chamada OtterCookie. Este malware JavaScript é configurado para buscar e executar cargas úteis prejudiciais adicionais, expandindo ainda mais as capacidades da infecção.

Refinando as Táticas de Evasão no estilo ClickFix

Quando a família de malware FERRET foi descoberta no final de 2024, os pesquisadores notaram que os invasores estavam refinando seus métodos para evitar melhor a detecção. Uma técnica notável envolve uma abordagem no estilo ClickFix, enganando os usuários para copiar e executar um comando inseguro no aplicativo macOS Terminal sob o pretexto de resolver problemas de acesso à câmera e ao microfone.

Segmentação de Candidatos a Emprego por Meio do LinkedIn

A fase inicial desses ataques geralmente começa com o alcance do LinkedIn, onde os agentes de ameaças se apresentam como recrutadores. O objetivo principal deles é persuadir vítimas em potencial a passar por uma avaliação em vídeo, o que acaba levando à instalação de um backdoor baseado em Golang. Esse malware é particularmente insidioso, projetado para drenar fundos de criptomoeda das carteiras MetaMask, ao mesmo tempo em que permite que os invasores executem comandos no dispositivo comprometido.

Analisando os Componentes do FERRET Malware

Pesquisadores identificaram vários componentes associados à família de malware FERRET, cada um desempenhando uma função distinta na sequência de ataque:

  • FROSTYFERRET_UI: A carga útil do estágio inicial, geralmente disfarçada como aplicativos ChromeUpdate ou CameraAccess.
  • FRIENDLYFERRET_SECD: Um backdoor secundário baseado em Go conhecido como 'com.apple.secd', anteriormente vinculado à campanha Hidden Risk que tinha como alvo empresas de cripto-moedas.
  • MULTI_FROSTYFERRET_CMDCODES: Um arquivo de configuração Go que oferece suporte à funcionalidade de backdoor do estágio dois.

FlexibleFerret: Estabelecendo Persistência no macOS

Um conjunto separado de artefatos de malware, conhecido como FlexibleFerret, também foi descoberto. Essa variante se concentra em manter a persistência dentro de um sistema macOS infectado por meio do uso de um LaunchAgent. O malware é entregue por meio de um pacote instalador chamado InstallerAlert, espelhando a funcionalidade de 'FROSTYFERRET_UI.'

Expandindo os Vetores de Ataque Além de Candidatos a Emprego

Embora as amostras do FlexibleFerret tenham sido distribuídas como pacotes do Apple Installer, o método preciso usado para convencer as vítimas a executá-las permanece obscuro. No entanto, as evidências sugerem que o malware também está sendo propagado pela criação de problemas falsos em repositórios legítimos do GitHub. Essa mudança nas táticas sinaliza uma estratégia de segmentação mais ampla que se estende além dos candidatos a emprego, visando desenvolvedores e outros profissionais da indústria de tecnologia.

À medida que os cibercriminosos norte-coreanos continuam aprimorando seus métodos enganosos, especialistas em segurança pedem maior vigilância ao interagir com ofertas de emprego online e avisos de instalação de software.

Tendendo

American Express - Unrecognized Transaction Email Scam

Phishing, Spam
Em um mundo progressivamente digital, a vigilância é essencial para proteger informações pessoais e financeiras. Táticas de phishing são uma ameaça on-line prevalente, projetadas para explorar a confiança dos usuários e roubar dados confidenciais. Entre elas, o golpe de e-mail American Express - Unrecognized Transaction surgiu como um exemplo notável. Ao examinar as táticas por trás desse golpe...

Mais visto

Carregando...