Rabattoffert för flera licenser
Hotdatabas Mac Malware FERRET Malware

FERRET Malware

Med Mezo år Mac Malware
Översätt till:
Svenska

Nordkoreanska cyberoperatörer bakom kampanjen för smittsam intervju har hittats distribuera macOS skadlig kod, gemensamt kallad FERRET under sken av en anställningsintervjuprocess. Intet ont anande mål leds till att kommunicera med en förmodad rekryterare via en länk som genererar ett felmeddelande som uppmanar dem att installera eller uppdatera programvara som VCam eller CameraAccess för att fortsätta med intervjun.

Smittsam intervju: En ihållande cyberspionageinsats

Den smittsamma intervjun, som ursprungligen avslöjades i slutet av 2023, representerar en långvarig kampanj som syftar till att infektera offer genom vilseledande npm-paket och inbyggda applikationer som utger sig som videokonferensprogram. Kampanjen, som också spåras under namn som DeceptiveDevelopment och DEV#POPPER, fortsätter att utvecklas och använder sig av allt mer sofistikerade taktiker.

Släpp BeaverTail och InvisibleFerret

Attacksekvensen resulterar vanligtvis i distributionen av BeaverTail, en JavaScript-baserad skadlig programvara som är utformad för att extrahera känslig data från webbläsare och kryptovaluta-plånböcker. Denna skadliga programvara fungerar också som en leveransmekanism för en extra nyttolast – en Python-baserad bakdörr känd som InvisibleFerret.

OtterCookie: Ytterligare ett lager av skadlig aktivitet

I december 2024 identifierade cybersäkerhetsforskare från Japan en annan komponent i attackkedjan: en malware-variant vid namn OtterCookie . Denna JavaScript-skadliga programvara är konfigurerad för att hämta och exekvera ytterligare skadliga nyttolaster, vilket ytterligare utökar infektionens möjligheter.

Förfina undvikande taktik med ClickFix-stil bedrägeri

När FERRET malware-familjen upptäcktes mot slutet av 2024, noterade forskare att angripare förfinade sina metoder för att bättre undvika upptäckt. En anmärkningsvärd teknik involverar ett tillvägagångssätt i ClickFix-stil, som lurar användare att kopiera och utföra ett osäkert kommando i macOS Terminal-applikationen under förevändning att lösa problem med kamera- och mikrofonåtkomst.

Inriktning på arbetssökande via LinkedIn

Den inledande fasen av dessa attacker börjar ofta med LinkedIn-uppsökande, där hotaktörer utgör rekryterare. Deras primära mål är att övertala potentiella offer att genomgå en videobedömning, vilket i slutändan leder till installationen av en Golang-baserad bakdörr. Den här skadliga programvaran är särskilt lömsk, utformad för att tömma kryptovalutapengar från MetaMask-plånböcker samtidigt som den tillåter angripare att utföra kommandon på den komprometterade enheten.

Att bryta ner FERRET Malware-komponenter

Forskare har identifierat flera komponenter som är associerade med FERRET skadlig programvara, som var och en har en distinkt funktion i attacksekvensen:

  • FROSTYFERRET_UI: Nyttolasten i första skedet, ofta förklädd som ChromeUpdate- eller CameraAccess-applikationer.
  • FRIENDLYFERRET_SECD: En sekundär Go-baserad bakdörr känd som 'com.apple.secd', tidigare länkad till Hidden Risk-kampanjen inriktad på kryptovalutaföretag.
  • MULTI_FROSTYFERRET_CMDCODES: En Go-konfigurationsfil som stöder steg två bakdörrsfunktioner.

FlexibleFerret: Etablering av persistens på macOS

En separat uppsättning skadliga artefakter, kallade FlexibleFerret, har också upptäckts. Denna variant fokuserar på att bibehålla uthållighet inom ett infekterat macOS-system genom att använda en LaunchAgent. Skadlig programvara levereras via ett installationspaket som heter InstallerAlert, vilket speglar funktionen för 'FROSTYFERRET_UI.'

Expandera attackvektorer bortom arbetssökande

Även om FlexibleFerret-proverna distribuerades som Apple Installer-paket, är den exakta metoden som användes för att övertyga offren att avrätta dem oklart. Bevis tyder dock på att skadlig programvara också sprids genom att skapa falska problem på legitima GitHub-förråd. Denna taktikförändring signalerar en bredare inriktningsstrategi som sträcker sig bortom arbetssökande och riktar sig till utvecklare och andra yrkesverksamma inom teknikbranschen.

När nordkoreanska cyberaktörer fortsätter att förfina sina vilseledande metoder, uppmanar säkerhetsexperter till ökad vaksamhet när de engagerar sig med jobberbjudanden online och uppmaningar om programvaruinstallation.

Trendigt

Mest sedda

Läser in...