FERRET Malware
Ang mga cyber operative ng North Korea sa likod ng kampanyang Contagious Interview ay natagpuang nagde-deploy ng mga macOS malware strains na pinagsama-samang tinatawag na FERRET sa ilalim ng pagkukunwari ng isang proseso ng pakikipanayam sa trabaho. Ang mga hindi pinaghihinalaang target ay inaakay upang makipag-ugnayan sa isang dapat na recruiter sa pamamagitan ng isang link na bumubuo ng isang mensahe ng error, na nag-uudyok sa kanila na mag-install o mag-update ng software tulad ng VCam o CameraAccess upang magpatuloy sa panayam.
Talaan ng mga Nilalaman
Nakakahawang Panayam: Isang Patuloy na Pagsusumikap sa Cyber Espionage
Una nang natuklasan noong huling bahagi ng 2023, ang Contagious Interview ay kumakatawan sa isang patuloy na kampanya na naglalayong mahawahan ang mga biktima sa pamamagitan ng mapanlinlang na npm package at native na application na nagpapanggap bilang software ng videoconferencing. Ang kampanya, na sinusubaybayan din sa ilalim ng mga pangalan tulad ng DeceptiveDevelopment at DEV#POPPER, ay patuloy na nagbabago, na gumagamit ng mga mas sopistikadong taktika.
Ibinaba ang BeaverTail at InvisibleFerret
Ang pagkakasunud-sunod ng pag-atake ay karaniwang nagreresulta sa pag-deploy ng BeaverTail, isang JavaScript-based na malware na idinisenyo upang kumuha ng sensitibong data mula sa mga browser at cryptocurrency wallet. Ang malware na ito ay gumaganap din bilang mekanismo ng paghahatid para sa karagdagang payload—isang backdoor na nakabase sa Python na kilala bilang InvisibleFerret.
OtterCookie: Isa pang Layer ng Mapanganib na Aktibidad
Noong Disyembre 2024, tinukoy ng mga mananaliksik ng cybersecurity mula sa Japan ang isa pang bahagi sa chain ng pag-atake: isang variant ng malware na pinangalanang OtterCookie . Ang JavaScript malware na ito ay na-configure upang kunin at magsagawa ng mga karagdagang nakakapinsalang payload, na higit pang nagpapalawak sa mga kakayahan ng impeksyon.
Pinipino ang Mga Taktika sa Pag-iwas gamit ang ClickFix-Style Deception
Nang matuklasan ang pamilya ng FERRET malware sa pagtatapos ng 2024, nabanggit ng mga mananaliksik na pinipino ng mga umaatake ang kanilang mga pamamaraan upang mas makaiwas sa pagtuklas. Ang isang kapansin-pansing pamamaraan ay nagsasangkot ng isang ClickFix-style na diskarte, nililinlang ang mga user na kopyahin at isagawa ang isang hindi ligtas na command sa macOS Terminal application sa ilalim ng pagkukunwari ng paglutas ng mga isyu sa pag-access sa camera at mikropono.
Pag-target sa mga Naghahanap ng Trabaho sa pamamagitan ng LinkedIn
Ang unang yugto ng mga pag-atake na ito ay madalas na nagsisimula sa LinkedIn outreach, kung saan ang mga aktor ng pagbabanta ay nagpapanggap bilang mga recruiter. Ang kanilang pangunahing layunin ay hikayatin ang mga potensyal na biktima na sumailalim sa isang pagtatasa ng video, na sa huli ay humahantong sa pag-install ng backdoor na nakabase sa Golang. Ang malware na ito ay partikular na mapanlinlang, na idinisenyo upang maubos ang mga pondo ng cryptocurrency mula sa MetaMask Wallets habang pinapayagan din ang mga umaatake na magsagawa ng mga utos sa nakompromisong device.
Pagsira sa Mga Bahagi ng FERRET Malware
Natukoy ng mga mananaliksik ang ilang bahagi na nauugnay sa pamilya ng malware ng FERRET, bawat isa ay nagsisilbi ng isang natatanging function sa pagkakasunud-sunod ng pag-atake:
- FROSTYFERRET_UI: Ang paunang yugto ng kargamento, na kadalasang nakakubli bilang ChromeUpdate o CameraAccess na mga application.
- FRIENDLYFERRET_SECD: Isang pangalawang Go-based na backdoor na kilala bilang 'com.apple.secd,' na dating naka-link sa Hidden Risk campaign na nagta-target sa mga negosyong cryptocurrency.
- MULTI_FROSTYFERRET_CMDCODES: Isang Go configuration file na sumusuporta sa stage two backdoor functionality.
FlexibleFerret: Pagtatatag ng Pagtitiyaga sa macOS
Natuklasan din ang isang hiwalay na hanay ng mga artifact ng malware, na tinutukoy bilang FlexibleFerret. Nakatuon ang variant na ito sa pagpapanatili ng pagpupursige sa loob ng isang nahawaang macOS system sa pamamagitan ng paggamit ng isang LaunchAgent. Ang malware ay inihahatid sa pamamagitan ng installer package na pinangalanang InstallerAlert, na sumasalamin sa functionality ng 'FROSTYFERRET_UI.'
Pagpapalawak ng Attack Vectors Higit pa sa mga Naghahanap ng Trabaho
Habang ang mga sample ng FlexibleFerret ay ipinamahagi bilang mga pakete ng Apple Installer, ang tumpak na paraan na ginamit upang kumbinsihin ang mga biktima na isagawa ang mga ito ay nananatiling hindi malinaw. Gayunpaman, iminumungkahi ng ebidensya na ang malware ay pinapalaganap din sa pamamagitan ng paglikha ng mga pekeng isyu sa mga lehitimong GitHub repository. Ang pagbabagong ito sa mga taktika ay nagpapahiwatig ng mas malawak na diskarte sa pag-target na lumalampas sa mga naghahanap ng trabaho, na naglalayon sa mga developer at iba pang mga propesyonal sa loob ng industriya ng teknolohiya.
Habang patuloy na pinipino ng mga cyber actor ng North Korea ang kanilang mga mapanlinlang na pamamaraan, hinihimok ng mga eksperto sa seguridad ang mas mataas na pagbabantay kapag nakikipag-ugnayan sa mga online na alok ng trabaho at mga senyas sa pag-install ng software.
