Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Malware pentru Mac FERRET Malware

FERRET Malware

Până în Mezo în Malware pentru Mac
Tradu in:
Română

Agenții cibernetici nord-coreeni din spatele campaniei Contagious Interview au fost găsiți care implementau tulpini de malware macOS denumite colectiv FERRET sub pretextul unui interviu de angajare. Țintele nebănuite sunt determinate să comunice cu un presupus recrutor printr-un link care generează un mesaj de eroare, determinându-le să instaleze sau să actualizeze software precum VCam sau CameraAccess pentru a continua cu interviul.

Interviu contagios: un efort persistent de spionaj cibernetic

Descoperit inițial la sfârșitul anului 2023, Contagious Interview reprezintă o campanie susținută care vizează infectarea victimelor prin pachete npm înșelătoare și aplicații native care se prezintă drept software de videoconferință. Campania, urmărită și sub nume precum DeceptiveDevelopment și DEV#POPPER, continuă să evolueze, folosind tactici din ce în ce mai sofisticate.

Aruncarea BeaverTail și InvisibleFerret

Secvența de atac are ca rezultat, de obicei, implementarea BeaverTail, un malware bazat pe JavaScript, conceput pentru a extrage date sensibile din browsere și portofele criptomonede. Acest malware acționează, de asemenea, ca un mecanism de livrare pentru o încărcătură suplimentară - o ușă din spate bazată pe Python, cunoscută sub numele de InvisibleFerret.

OtterCookie: un alt strat de activitate dăunătoare

În decembrie 2024, cercetătorii de securitate cibernetică din Japonia au identificat o altă componentă a lanțului de atac: o variantă de malware numită OtterCookie . Acest malware JavaScript este configurat să preia și să execute încărcături utile suplimentare dăunătoare, extinzând și mai mult capacitățile infecției.

Rafinarea tacticilor de evaziune cu ClickFix-Style Deception

Când familia de malware FERRET a fost descoperită spre sfârșitul anului 2024, cercetătorii au observat că atacatorii își perfecționau metodele pentru a evita mai bine detectarea. O tehnică notabilă implică o abordare în stil ClickFix, păcălirea utilizatorilor să copieze și să execute o comandă nesigură în aplicația macOS Terminal sub pretenția de a rezolva problemele de acces la cameră și microfon.

Direcționarea persoanelor în căutarea unui loc de muncă prin LinkedIn

Faza inițială a acestor atacuri începe adesea cu ajutorul LinkedIn, unde actorii amenințărilor se prezintă ca recrutori. Scopul lor principal este de a convinge potențialele victime să se supună unei evaluări video, care în cele din urmă duce la instalarea unei uși din spate bazate pe Golang. Acest malware este deosebit de insidios, conceput pentru a scurge fondurile criptomonede din portofelele MetaMask, permițând totodată atacatorilor să execute comenzi pe dispozitivul compromis.

Defalcarea componentelor malware FERRET

Cercetătorii au identificat mai multe componente asociate cu familia de malware FERRET, fiecare având o funcție distinctă în secvența atacului:

  • FROSTYFERRET_UI: sarcina utilă din stadiul inițial, adesea deghizat în aplicații ChromeUpdate sau CameraAccess.
  • FRIENDLYFERRET_SECD: o ușă secundară bazată pe Go, cunoscută sub numele de „com.apple.secd”, legată anterior de campania Hidden Risk care vizează afacerile cu criptomonede.
  • MULTI_FROSTYFERRET_CMDCODES: Un fișier de configurare Go care acceptă funcționalitatea backdoor din etapa a doua.

FlexibleFerret: stabilirea persistenței pe macOS

De asemenea, a fost descoperit un set separat de artefacte malware, denumit FlexibleFerret. Această variantă se concentrează pe menținerea persistenței într-un sistem macOS infectat prin utilizarea unui LaunchAgent. Malware-ul este livrat printr-un pachet de instalare numit InstallerAlert, care reflectă funcționalitatea „FROSTYFERRET_UI”.

Extinderea vectorilor de atac dincolo de persoanele aflate în căutarea unui loc de muncă

În timp ce mostrele FlexibleFerret au fost distribuite ca pachete Apple Installer, metoda precisă folosită pentru a convinge victimele să le execute rămâne neclară. Cu toate acestea, dovezile sugerează că malware-ul este, de asemenea, propagat prin crearea de probleme false în depozitele GitHub legitime. Această schimbare de tactică semnalează o strategie de direcționare mai largă, care se extinde dincolo de persoanele aflate în căutarea unui loc de muncă, vizând dezvoltatorii și alți profesioniști din industria tehnologiei.

Pe măsură ce actorii cibernetici nord-coreeni continuă să-și perfecționeze metodele înșelătoare, experții în securitate îndeamnă la o vigilență sporită atunci când interacționează cu ofertele de muncă online și cu solicitările de instalare a software-ului.

Trending

American Express - Înșelătorie prin e-mail pentru...

phishing, Spam
Într-o lume din ce în ce mai digitală, vigilența este cheia pentru protejarea informațiilor personale și financiare. Tacticile de phishing sunt o amenințare online răspândită, menită să exploateze încrederea utilizatorilor și să fure date sensibile. Printre acestea, înșelătoria prin e-mail American Express - Tranzacție nerecunoscută a apărut ca un exemplu notabil. Examinând tacticile din...

Cele mai văzute

Ferestre pop-up „Dacă aveți 18 ani Atingeți Permite”.

Mesaje de avertizare false
25,191
Ferestrele pop-up „Dacă aveți 18 ani Atingeți Permite” sunt un tip de anunț pop-up care apare pe ecranul unui utilizator când navighează pe internet. Aceste ferestre pop-up pot fi destul de alarmante pentru utilizatori, deoarece îi îndeamnă să facă clic pe butonul „permite” pentru a continua să folosească site-ul web pe care se află în prezent. Aceste ferestre pop-up sunt asociate cu programe...
Se încarcă...