Скидка на мультилицензию
База данных угроз Вредоносное ПО для Mac Вредоносное ПО FERRET

Вредоносное ПО FERRET

К Mezo году в Вредоносное ПО для Mac году
Перевести на:
Русский

Северокорейские кибероператоры, стоящие за кампанией Contagious Interview, были обнаружены при использовании вредоносных программ macOS под общим названием FERRET под видом процесса собеседования при приеме на работу. Ничего не подозревающие цели перенаправляются на связь с предполагаемым рекрутером по ссылке, которая генерирует сообщение об ошибке, побуждающее их установить или обновить программное обеспечение, например VCam или CameraAccess, чтобы продолжить собеседование.

Заразительное интервью: постоянные попытки кибершпионажа

Первоначально обнаруженное в конце 2023 года, Contagious Interview представляет собой непрерывную кампанию, направленную на заражение жертв через обманчивые пакеты npm и собственные приложения, выдающие себя за программное обеспечение для видеоконференций. Кампания, также отслеживаемая под такими именами, как DeceptiveDevelopment и DEV#POPPER, продолжает развиваться, применяя все более изощренные тактики.

Отбрасывание BeaverTail и InvisibleFerret

Последовательность атак обычно приводит к развертыванию BeaverTail, вредоносного ПО на основе JavaScript, разработанного для извлечения конфиденциальных данных из браузеров и криптовалютных кошельков. Это вредоносное ПО также действует как механизм доставки дополнительной полезной нагрузки — бэкдора на основе Python, известного как InvisibleFerret.

OtterCookie: еще один уровень вредоносной активности

В декабре 2024 года исследователи кибербезопасности из Японии выявили еще один компонент в цепочке атак: вариант вредоносного ПО под названием OtterCookie . Это вредоносное ПО JavaScript настроено на извлечение и выполнение дополнительных вредоносных полезных нагрузок, что еще больше расширяет возможности заражения.

Совершенствование тактики уклонения с помощью обмана в стиле ClickFix

Когда в конце 2024 года было обнаружено семейство вредоносных программ FERRET, исследователи отметили, что злоумышленники совершенствуют свои методы, чтобы лучше избегать обнаружения. Одна из заметных техник включает подход в стиле ClickFix, обманывая пользователей, заставляя их копировать и выполнять небезопасную команду в приложении macOS Terminal под предлогом решения проблем с доступом к камере и микрофону.

Нацеливание на соискателей работы через LinkedIn

Начальная фаза этих атак часто начинается с охвата LinkedIn, где злоумышленники выдают себя за рекрутеров. Их главная цель — убедить потенциальных жертв пройти видеооценку, что в конечном итоге приводит к установке бэкдора на базе Golang. Эта вредоносная программа особенно коварна, она предназначена для выкачивания криптовалютных средств из кошельков MetaMask, а также позволяет злоумышленникам выполнять команды на скомпрометированном устройстве.

Разбор компонентов вредоносного ПО FERRET

Исследователи выявили несколько компонентов, связанных с семейством вредоносных программ FERRET, каждый из которых выполняет определенную функцию в последовательности атак:

  • FROSTYFERRET_UI: полезная нагрузка начального этапа, часто замаскированная под приложения ChromeUpdate или CameraAccess.
  • FRIENDLYFERRET_SECD: вторичный бэкдор на базе Go, известный как «com.apple.secd», ранее связанный с кампанией Hidden Risk, нацеленной на криптовалютный бизнес.
  • MULTI_FROSTYFERRET_CMDCODES: файл конфигурации Go, поддерживающий функциональность бэкдора второго этапа.

FlexibleFerret: обеспечение устойчивости на macOS

Также был обнаружен отдельный набор вредоносных артефактов, называемый FlexibleFerret. Этот вариант фокусируется на поддержании устойчивости в зараженной системе macOS с помощью LaunchAgent. Вредоносное ПО поставляется через пакет установщика под названием InstallerAlert, отражающий функциональность «FROSTYFERRET_UI».

Расширение векторов атак за пределы соискателей работы

Хотя образцы FlexibleFerret распространялись как пакеты Apple Installer, точный метод, используемый для убеждения жертв выполнить их, остается неясным. Однако данные свидетельствуют о том, что вредоносное ПО также распространяется путем создания поддельных проблем в легитимных репозиториях GitHub. Такое изменение тактики свидетельствует о более широкой стратегии нацеливания, которая выходит за рамки соискателей работы и нацелена на разработчиков и других специалистов в технологической отрасли.

Поскольку северокорейские киберпреступники продолжают совершенствовать свои методы обмана, эксперты по безопасности призывают к повышенной бдительности при взаимодействии с онлайн-предложениями о работе и предложениями по установке программного обеспечения.

В тренде

American Express — мошенничество с электронными...

Фишинг, Спам
В прогрессивно цифровом мире бдительность является ключом к защите личной и финансовой информации. Фишинговые тактики являются распространенной сетевой угрозой, призванной эксплуатировать доверие пользователей и красть конфиденциальные данные. Среди них мошенничество с электронной почтой American Express - Unrecognized Transaction стало ярким примером. Изучив тактику, лежащую в основе этого...

Наиболее просматриваемые

Загрузка...