มัลแวร์ FERRET
เจ้าหน้าที่ไซเบอร์ของเกาหลีเหนือที่อยู่เบื้องหลังแคมเปญ Contagious Interview ถูกพบว่าใช้มัลแวร์ macOS สายพันธุ์หนึ่งที่เรียกรวมกันว่า FERRET โดยแอบอ้างว่าเป็นกระบวนการสัมภาษณ์งาน โดยเป้าหมายที่ไม่สงสัยจะถูกชักจูงให้ติดต่อสื่อสารกับผู้จัดหางานผ่านลิงก์ที่สร้างข้อความแสดงข้อผิดพลาด ส่งผลให้พวกเขาต้องติดตั้งหรืออัปเดตซอฟต์แวร์เช่น VCam หรือ CameraAccess เพื่อดำเนินการสัมภาษณ์ต่อไป
สารบัญ
สัมภาษณ์ที่ติดต่อกัน: ความพยายามในการจารกรรมทางไซเบอร์อย่างต่อเนื่อง
Contagious Interview ซึ่งถูกเปิดเผยครั้งแรกในช่วงปลายปี 2023 ถือเป็นแคมเปญต่อเนื่องที่มุ่งเป้าไปที่การแพร่ระบาดไปยังเหยื่อผ่านแพ็กเกจ npm ที่หลอกลวงและแอปพลิเคชันดั้งเดิมที่แอบอ้างว่าเป็นซอฟต์แวร์การประชุมทางวิดีโอ แคมเปญดังกล่าวซึ่งติดตามภายใต้ชื่อต่างๆ เช่น DeceptiveDevelopment และ DEV#POPPER ยังคงพัฒนาต่อไปโดยใช้กลวิธีที่ซับซ้อนมากขึ้นเรื่อยๆ
การทิ้ง BeaverTail และ InvisibleFerret
ลำดับการโจมตีโดยทั่วไปจะส่งผลให้มีการใช้งาน BeaverTail ซึ่งเป็นมัลแวร์ที่ใช้ JavaScript ออกแบบมาเพื่อดึงข้อมูลที่ละเอียดอ่อนจากเบราว์เซอร์และกระเป๋าเงินสกุลเงินดิจิทัล มัลแวร์นี้ยังทำหน้าที่เป็นกลไกการส่งมอบเพย์โหลดเพิ่มเติม ซึ่งเป็นแบ็คดอร์ที่ใช้ Python ที่เรียกว่า InvisibleFerret
OtterCookie: อีกชั้นหนึ่งของกิจกรรมที่เป็นอันตราย
ในเดือนธันวาคม 2024 นักวิจัยด้านความปลอดภัยทางไซเบอร์จากญี่ปุ่นระบุส่วนประกอบอีกชิ้นหนึ่งในห่วงโซ่การโจมตี ซึ่งก็คือมัลแวร์ที่มีชื่อว่า OtterCookie มัลแวร์ JavaScript นี้ได้รับการกำหนดค่าให้ดึงข้อมูลและดำเนินการเพย์โหลดที่เป็นอันตรายเพิ่มเติม ซึ่งจะขยายขีดความสามารถของการติดเชื้อให้มากขึ้น
การปรับปรุงกลยุทธ์การหลบเลี่ยงด้วยการหลอกลวงสไตล์ ClickFix
เมื่อพบมัลแวร์ตระกูล FERRET เมื่อช่วงปลายปี 2024 นักวิจัยสังเกตว่าผู้โจมตีกำลังปรับปรุงวิธีการของตนเพื่อหลบเลี่ยงการตรวจจับได้ดีขึ้น เทคนิคที่น่าสนใจอย่างหนึ่งเกี่ยวข้องกับแนวทางแบบ ClickFix ซึ่งหลอกล่อให้ผู้ใช้คัดลอกและดำเนินการคำสั่งที่ไม่ปลอดภัยในแอปพลิเคชัน Terminal ของ macOS โดยอ้างว่าจะแก้ไขปัญหาการเข้าถึงกล้องและไมโครโฟน
การกำหนดเป้าหมายผู้หางานผ่าน LinkedIn
ระยะเริ่มต้นของการโจมตีเหล่านี้มักเริ่มต้นด้วยการติดต่อกับ LinkedIn ซึ่งผู้ก่อภัยคุกคามจะแอบอ้างตัวเป็นผู้คัดเลือกคน โดยมีเป้าหมายหลักคือการโน้มน้าวเหยื่อที่มีแนวโน้มจะเป็นไปได้ให้เข้ารับการประเมินผ่านวิดีโอ ซึ่งท้ายที่สุดจะนำไปสู่การติดตั้งแบ็คดอร์ที่ใช้ Golang มัลแวร์นี้มีความร้ายกาจเป็นพิเศษ โดยออกแบบมาเพื่อดึงเงินจากสกุลเงินดิจิทัลออกจากกระเป๋าเงิน MetaMask ในขณะเดียวกันก็อนุญาตให้ผู้โจมตีดำเนินการคำสั่งบนอุปกรณ์ที่ถูกบุกรุกได้
การแยกส่วนประกอบของมัลแวร์ FERRET
นักวิจัยได้ระบุส่วนประกอบต่างๆ หลายประการที่เกี่ยวข้องกับกลุ่มมัลแวร์ FERRET ซึ่งแต่ละส่วนประกอบมีหน้าที่ที่แตกต่างกันในลำดับการโจมตี:
- FROSTYFERRET_UI: เพย์โหลดขั้นเริ่มต้น มักจะปลอมตัวเป็นแอปพลิเคชัน ChromeUpdate หรือ CameraAccess
- FRIENDLYFERRET_SECD: แบ็กดอร์รองที่ใช้ Go ที่เรียกว่า 'com.apple.secd' ซึ่งก่อนหน้านี้เชื่อมโยงกับแคมเปญ Hidden Risk ที่กำหนดเป้าหมายไปที่ธุรกิจสกุลเงินดิจิทัล
- MULTI_FROSTYFERRET_CMDCODES: ไฟล์กำหนดค่า Go ที่รองรับฟังก์ชันแบ็คดอร์ขั้นที่สอง
FlexibleFerret: การสร้างความคงอยู่บน macOS
นอกจากนี้ ยังค้นพบชุดมัลแวร์แยกกันที่เรียกว่า FlexibleFerret อีกด้วย มัลแวร์ประเภทนี้เน้นที่การรักษาความคงอยู่ภายในระบบ macOS ที่ติดไวรัสโดยใช้ LaunchAgent มัลแวร์นี้ถูกส่งผ่านแพ็คเกจตัวติดตั้งที่มีชื่อว่า InstallerAlert ซึ่งสะท้อนถึงฟังก์ชันการทำงานของ 'FROSTYFERRET_UI'
การขยายเวกเตอร์การโจมตีเกินขอบเขตของผู้หางาน
แม้ว่าตัวอย่าง FlexibleFerret จะแจกจ่ายในรูปแบบแพ็คเกจ Apple Installer แต่ยังคงไม่มีความชัดเจนว่าวิธีการที่ชัดเจนที่ใช้ในการโน้มน้าวเหยื่อให้รันโปรแกรมเหล่านี้คืออะไร อย่างไรก็ตาม หลักฐานชี้ให้เห็นว่ามัลแวร์ยังแพร่กระจายโดยสร้างปัญหาปลอมบนคลังข้อมูล GitHub ที่ถูกต้อง การเปลี่ยนแปลงกลยุทธ์นี้บ่งชี้ถึงกลยุทธ์การกำหนดเป้าหมายที่กว้างขึ้นซึ่งขยายออกไปนอกขอบเขตของผู้หางาน โดยมุ่งเป้าไปที่นักพัฒนาและผู้เชี่ยวชาญคนอื่นๆ ในอุตสาหกรรมเทคโนโลยี
เนื่องจากผู้กระทำความผิดทางไซเบอร์ในเกาหลีเหนือยังคงพัฒนาวิธีการหลอกลวงของตนต่อไป ผู้เชี่ยวชาญด้านความปลอดภัยจึงแนะนำให้เพิ่มความระมัดระวังเมื่อทำธุรกรรมกับข้อเสนองานออนไลน์และคำแนะนำในการติดตั้งซอฟต์แวร์
