FERRET Malware

కాంటాజియస్ ఇంటర్వ్యూ ప్రచారం వెనుక ఉన్న ఉత్తర కొరియా సైబర్ ఆపరేటివ్‌లు ఉద్యోగ ఇంటర్వ్యూ ప్రక్రియ ముసుగులో ఫెర్రెట్ అని పిలువబడే మాకోస్ మాల్వేర్ స్ట్రెయిన్‌లను ఉపయోగిస్తున్నట్లు కనుగొనబడింది. అనుమానించని లక్ష్యాలు దోష సందేశాన్ని ఉత్పత్తి చేసే లింక్ ద్వారా అనుమానిత రిక్రూటర్‌తో కమ్యూనికేట్ చేయడానికి దారితీస్తాయి, ఇంటర్వ్యూతో కొనసాగడానికి VCam లేదా కెమెరా యాక్సెస్ వంటి సాఫ్ట్‌వేర్‌ను ఇన్‌స్టాల్ చేయడానికి లేదా నవీకరించడానికి వారిని ప్రేరేపిస్తాయి.

కాంటాజియస్ ఇంటర్వ్యూ: నిరంతర సైబర్ గూఢచర్య ప్రయత్నం

2023 చివరలో మొదటగా వెలుగులోకి వచ్చిన కాంటాజియస్ ఇంటర్వ్యూ, మోసపూరిత npm ప్యాకేజీలు మరియు వీడియోకాన్ఫరెన్సింగ్ సాఫ్ట్‌వేర్‌గా నటించే స్థానిక అప్లికేషన్‌ల ద్వారా బాధితులకు సోకే లక్ష్యంతో నిరంతర ప్రచారాన్ని సూచిస్తుంది. డిసెప్టివ్ డెవలప్‌మెంట్ మరియు DEV#POPPER వంటి పేర్లతో కూడా ట్రాక్ చేయబడిన ఈ ప్రచారం, మరింత అధునాతన వ్యూహాలను ఉపయోగిస్తూ అభివృద్ధి చెందుతూనే ఉంది.

బీవర్‌టెయిల్ మరియు ఇన్విజిబుల్ ఫెర్రెట్‌లను వదలడం

ఈ దాడి క్రమం సాధారణంగా బ్రౌజర్‌లు మరియు క్రిప్టోకరెన్సీ వాలెట్‌ల నుండి సున్నితమైన డేటాను సంగ్రహించడానికి రూపొందించబడిన జావాస్క్రిప్ట్ ఆధారిత మాల్వేర్ అయిన బీవర్‌టెయిల్‌ను అమలు చేయడానికి దారితీస్తుంది. ఈ మాల్వేర్ అదనపు పేలోడ్ కోసం డెలివరీ మెకానిజం వలె కూడా పనిచేస్తుంది - ఇన్విజిబుల్ ఫెర్రెట్ అని పిలువబడే పైథాన్ ఆధారిత బ్యాక్‌డోర్.

OtterCookie: హానికరమైన కార్యకలాపాల యొక్క మరొక పొర

డిసెంబర్ 2024లో, జపాన్‌కు చెందిన సైబర్‌ సెక్యూరిటీ పరిశోధకులు దాడి గొలుసులోని మరొక భాగాన్ని గుర్తించారు: OtterCookie అనే మాల్వేర్ వేరియంట్. ఈ జావాస్క్రిప్ట్ మాల్వేర్ అదనపు హానికరమైన పేలోడ్‌లను పొందేందుకు మరియు అమలు చేయడానికి కాన్ఫిగర్ చేయబడింది, ఇది ఇన్ఫెక్షన్ సామర్థ్యాలను మరింత విస్తరిస్తుంది.

క్లిక్‌ఫిక్స్-స్టైల్ మోసంతో ఎగవేత వ్యూహాలను మెరుగుపరచడం

2024 చివరి నాటికి FERRET మాల్వేర్ కుటుంబం కనుగొనబడినప్పుడు, దాడి చేసేవారు గుర్తింపును బాగా తప్పించుకోవడానికి వారి పద్ధతులను మెరుగుపరుచుకుంటున్నారని పరిశోధకులు గుర్తించారు. ఒక ముఖ్యమైన సాంకేతికతలో క్లిక్‌ఫిక్స్-శైలి విధానం ఉంటుంది, ఇది కెమెరా మరియు మైక్రోఫోన్ యాక్సెస్ సమస్యలను పరిష్కరించే నెపంతో macOS టెర్మినల్ అప్లికేషన్‌లో అసురక్షిత ఆదేశాన్ని కాపీ చేసి అమలు చేయడానికి వినియోగదారులను మోసగిస్తుంది.

లింక్డ్ఇన్ ద్వారా ఉద్యోగార్ధులను లక్ష్యంగా చేసుకోవడం

ఈ దాడుల ప్రారంభ దశ తరచుగా లింక్డ్ఇన్ ఔట్రీచ్‌తో ప్రారంభమవుతుంది, ఇక్కడ బెదిరింపు నటులు రిక్రూటర్‌లుగా నటిస్తారు. వారి ప్రాథమిక లక్ష్యం సంభావ్య బాధితులను వీడియో అసెస్‌మెంట్‌కు గురిచేయమని ఒప్పించడం, ఇది చివరికి గోలాంగ్ ఆధారిత బ్యాక్‌డోర్‌ను ఇన్‌స్టాల్ చేయడానికి దారితీస్తుంది. ఈ మాల్వేర్ ముఖ్యంగా కృత్రిమమైనది, మెటామాస్క్ వాలెట్‌ల నుండి క్రిప్టోకరెన్సీ నిధులను హరించడానికి రూపొందించబడింది, అదే సమయంలో దాడి చేసేవారు రాజీపడిన పరికరంలో ఆదేశాలను అమలు చేయడానికి కూడా అనుమతిస్తుంది.

FERRET మాల్వేర్ భాగాలను విచ్ఛిన్నం చేయడం

పరిశోధకులు FERRET మాల్వేర్ కుటుంబంతో అనుబంధించబడిన అనేక భాగాలను గుర్తించారు, ప్రతి ఒక్కటి దాడి క్రమంలో ఒక ప్రత్యేక పనితీరును అందిస్తాయి:

• FROSTYFERRET_UI: ప్రారంభ-దశ పేలోడ్, తరచుగా ChromeUpdate లేదా CameraAccess అప్లికేషన్‌ల వలె మారువేషంలో ఉంటుంది.
• FRIENDLYFERRET_SECD: 'com.apple.secd' అని పిలువబడే ద్వితీయ గో-ఆధారిత బ్యాక్‌డోర్, గతంలో క్రిప్టోకరెన్సీ వ్యాపారాలను లక్ష్యంగా చేసుకుని హిడెన్ రిస్క్ ప్రచారానికి లింక్ చేయబడింది.
• MULTI_FROSTYFERRET_CMDCODES: రెండవ దశ బ్యాక్‌డోర్ కార్యాచరణకు మద్దతు ఇచ్చే గో కాన్ఫిగరేషన్ ఫైల్.

ఫ్లెక్సిబుల్ ఫెర్రెట్: మాకోస్‌పై పట్టుదలను ఏర్పరచడం

ఫ్లెక్సిబుల్‌ఫెర్రెట్ అని పిలువబడే మాల్వేర్ కళాఖండాల ప్రత్యేక సెట్ కూడా కనుగొనబడింది. ఈ వేరియంట్ లాంచ్ ఏజెంట్‌ను ఉపయోగించడం ద్వారా ఇన్‌ఫెక్ట్ చేయబడిన మాకోస్ సిస్టమ్‌లో నిలకడను నిర్వహించడంపై దృష్టి పెడుతుంది. 'FROSTYFERRET_UI' యొక్క కార్యాచరణను ప్రతిబింబించే ఇన్‌స్టాలర్అలర్ట్ అనే ఇన్‌స్టాలర్ ప్యాకేజీ ద్వారా మాల్వేర్ డెలివరీ చేయబడుతుంది.

ఉద్యోగార్ధులకు మించి దాడి వెక్టర్లను విస్తరించడం

ఫ్లెక్సిబుల్‌ఫెర్రెట్ నమూనాలను ఆపిల్ ఇన్‌స్టాలర్ ప్యాకేజీలుగా పంపిణీ చేసినప్పటికీ, బాధితులను వాటిని అమలు చేయడానికి ఒప్పించడానికి ఉపయోగించే ఖచ్చితమైన పద్ధతి అస్పష్టంగానే ఉంది. అయితే, చట్టబద్ధమైన గిట్‌హబ్ రిపోజిటరీలలో నకిలీ సమస్యలను సృష్టించడం ద్వారా మాల్వేర్ కూడా ప్రచారం చేయబడుతుందని ఆధారాలు సూచిస్తున్నాయి. వ్యూహాలలో ఈ మార్పు ఉద్యోగార్ధులకు మించి విస్తరించి, డెవలపర్లు మరియు టెక్ పరిశ్రమలోని ఇతర నిపుణులను లక్ష్యంగా చేసుకుని విస్తృత లక్ష్య వ్యూహాన్ని సూచిస్తుంది.

ఉత్తర కొరియా సైబర్ నటులు తమ మోసపూరిత పద్ధతులను మెరుగుపరుచుకుంటూనే ఉన్నందున, ఆన్‌లైన్ ఉద్యోగ ఆఫర్‌లు మరియు సాఫ్ట్‌వేర్ ఇన్‌స్టాలేషన్ ప్రాంప్ట్‌లతో నిమగ్నమయ్యేటప్పుడు భద్రతా నిపుణులు మరింత అప్రమత్తంగా ఉండాలని కోరుతున్నారు.