Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Mac Kötü Amaçlı Yazılım FERRET Kötü Amaçlı Yazılım

FERRET Kötü Amaçlı Yazılım

Mezo'de Mac Kötü Amaçlı Yazılım'de
Çevir:
Türkçe

Bulaşıcı Mülakat kampanyasının arkasındaki Kuzey Koreli siber operatörlerin, toplu olarak FERRET olarak adlandırılan macOS kötü amaçlı yazılım türlerini bir iş görüşmesi süreci kisvesi altında dağıttıkları bulundu. Şüphelenmeyen hedefler, bir hata mesajı üreten bir bağlantı aracılığıyla sözde işe alım uzmanıyla iletişim kurmaya yönlendiriliyor ve bu da onları görüşmeye devam etmek için VCam veya CameraAccess gibi bir yazılımı yüklemeye veya güncellemeye yönlendiriyor.

Bulaşıcı Röportaj: Sürekli Bir Siber Casusluk Çabası

İlk olarak 2023'ün sonlarında ortaya çıkarılan Contagious Interview, aldatıcı npm paketleri ve video konferans yazılımı gibi görünen yerel uygulamalar aracılığıyla kurbanları enfekte etmeyi amaçlayan sürekli bir kampanyayı temsil ediyor. DeceptiveDevelopment ve DEV#POPPER gibi isimler altında da takip edilen kampanya, giderek daha karmaşık taktikler kullanarak gelişmeye devam ediyor.

BeaverTail ve InvisibleFerret’i Bırakma

Saldırı dizisi genellikle tarayıcılardan ve kripto para cüzdanlarından hassas verileri çıkarmak için tasarlanmış JavaScript tabanlı bir kötü amaçlı yazılım olan BeaverTail'in dağıtımıyla sonuçlanır. Bu kötü amaçlı yazılım ayrıca ek bir yük için bir dağıtım mekanizması olarak işlev görür - InvisibleFerret olarak bilinen Python tabanlı bir arka kapı.

OtterCookie: Zararlı Aktivitenin Başka Bir Katmanı

Aralık 2024'te Japonya'dan siber güvenlik araştırmacıları saldırı zincirinde başka bir bileşen tespit etti: OtterCookie adlı bir kötü amaçlı yazılım çeşidi. Bu JavaScript kötü amaçlı yazılımı, ek zararlı yükleri alıp yürütmek üzere yapılandırılmıştır ve bu da enfeksiyonun yeteneklerini daha da genişletmektedir.

ClickFix Tarzı Aldatmacayla Kaçınma Taktiklerini Geliştirme

FERRET kötü amaçlı yazılım ailesi 2024'ün sonuna doğru keşfedildiğinde, araştırmacılar saldırganların tespitten daha iyi kaçınmak için yöntemlerini geliştirdiklerini belirttiler. Dikkat çekici bir teknik, kamera ve mikrofon erişim sorunlarını çözme bahanesiyle kullanıcıları macOS Terminal uygulamasında güvenli olmayan bir komutu kopyalamaya ve yürütmeye kandıran ClickFix tarzı bir yaklaşımı içeriyor.

LinkedIn Üzerinden İş Arayanları Hedefleme

Bu saldırıların ilk aşaması genellikle tehdit aktörlerinin işe alımcı olarak poz verdiği LinkedIn erişimiyle başlar. Birincil amaçları, potansiyel kurbanları bir video değerlendirmesine ikna etmektir ve bu da nihayetinde Golang tabanlı bir arka kapının kurulmasına yol açar. Bu kötü amaçlı yazılım özellikle sinsi olup, MetaMask Cüzdanlarından kripto para fonlarını boşaltmak ve saldırganların tehlikeye atılmış cihazda komutlar gerçekleştirmesine olanak sağlamak için tasarlanmıştır.

FERRET Kötü Amaçlı Yazılım Bileşenlerinin Parçalanması

Araştırmacılar, FERRET kötü amaçlı yazılım ailesiyle ilişkili, her biri saldırı dizisinde farklı bir işleve sahip olan çeşitli bileşenleri tanımladılar:

  • FROSTYFERRET_UI: Genellikle ChromeUpdate veya CameraAccess uygulamaları olarak gizlenen başlangıç aşaması yükü.
  • FRIENDLYFERRET_SECD: Daha önce kripto para birimi işletmelerini hedef alan Gizli Risk kampanyasıyla ilişkilendirilen, 'com.apple.secd' olarak bilinen ikincil bir Go tabanlı arka kapı.
  • MULTI_FROSTYFERRET_CMDCODES: İkinci aşama arka kapı işlevselliğini destekleyen bir Go yapılandırma dosyası.

FlexibleFerret: macOS’ta Kalıcılığı Sağlama

FlexibleFerret olarak adlandırılan ayrı bir kötü amaçlı yazılım eseri kümesi de keşfedildi. Bu varyant, bir LaunchAgent kullanımıyla enfekte olmuş bir macOS sisteminde kalıcılığı sürdürmeye odaklanır. Kötü amaçlı yazılım, 'FROSTYFERRET_UI'nin işlevselliğini yansıtan InstallerAlert adlı bir yükleyici paketi aracılığıyla iletilir.

Saldırı Vektörlerini İş Arayanların Ötesine Genişletmek

FlexibleFerret örnekleri Apple Installer paketleri olarak dağıtılırken, kurbanları bunları yürütmeye ikna etmek için kullanılan kesin yöntem hala belirsizliğini koruyor. Ancak, kanıtlar kötü amaçlı yazılımın meşru GitHub depolarında sahte sorunlar oluşturarak da yayıldığını gösteriyor. Taktiklerdeki bu değişim, iş arayanların ötesine uzanan, teknoloji sektöründeki geliştiricileri ve diğer profesyonelleri hedefleyen daha geniş bir hedefleme stratejisine işaret ediyor.

Kuzey Koreli siber suçlular aldatıcı yöntemlerini geliştirmeye devam ederken, güvenlik uzmanları çevrimiçi iş teklifleri ve yazılım yükleme istekleriyle etkileşime girerken daha dikkatli olunması konusunda uyarıyor.

trend

American Express - Tanınmayan İşlem E-postası...

Kimlik avı, İstenmeyen e-posta
Giderek dijitalleşen bir dünyada, kişisel ve finansal bilgileri korumak için dikkatli olmak çok önemlidir. Kimlik avı taktikleri, kullanıcıların güvenini suistimal etmek ve hassas verileri çalmak için tasarlanmış yaygın bir çevrimiçi tehdittir. Bunlar arasında, American Express - Unrecognized Transaction e-posta dolandırıcılığı dikkat çekici bir örnek olarak ortaya çıkmıştır. Bu...

En çok görüntülenen

Yükleniyor...