FERRET Шкідливе програмне забезпечення
Північнокорейських кібероператорів, які стоять за кампанією Contagious Interview, було виявлено, що під виглядом процесу співбесіди розгортають штами зловмисного програмного забезпечення macOS, які мають спільну назву FERRET. Нічого не підозрюючі об’єкти зв’язуються з імовірним рекрутером через посилання, яке генерує повідомлення про помилку, спонукаючи їх встановити або оновити програмне забезпечення, наприклад VCam або CameraAccess, щоб продовжити співбесіду.
Зміст
Заразливе інтерв’ю: постійне кібершпигунство
Інфекційне інтерв’ю, спочатку виявлене наприкінці 2023 року, представляє собою тривалу кампанію, спрямовану на зараження жертв через оманливі пакети npm і рідні програми, які видають себе за програмне забезпечення для відеоконференцій. Кампанія, яку також відстежують під такими назвами, як DeceptiveDevelopment і DEV#POPPER, продовжує розвиватися, використовуючи дедалі витонченішу тактику.
Викидання BeaverTail і InvisibleFerret
Послідовність атаки зазвичай призводить до розгортання BeaverTail, шкідливого програмного забезпечення на основі JavaScript, призначеного для отримання конфіденційних даних із браузерів і гаманців криптовалюти. Це зловмисне програмне забезпечення також діє як механізм доставки додаткового корисного навантаження — бекдору на основі Python, відомого як InvisibleFerret.
OtterCookie: ще один рівень шкідливої діяльності
У грудні 2024 року дослідники кібербезпеки з Японії ідентифікували ще один компонент у ланцюжку атак: варіант шкідливого програмного забезпечення під назвою OtterCookie . Це зловмисне програмне забезпечення JavaScript налаштовано на отримання та виконання додаткових шкідливих корисних даних, що ще більше розширює можливості зараження.
Удосконалення тактики ухилення за допомогою обману в стилі ClickFix
Коли наприкінці 2024 року було виявлено сімейство шкідливих програм FERRET, дослідники помітили, що зловмисники вдосконалювали свої методи, щоб краще уникати виявлення. Однією з відомих технік є підхід у стилі ClickFix, який змушує користувачів скопіювати та виконати небезпечну команду в програмі терміналу macOS під приводом вирішення проблем доступу до камери та мікрофона.
Орієнтація на шукачів роботи через LinkedIn
Початкова фаза цих атак часто починається з розповсюдження LinkedIn, де загрозливі особи видають себе за вербувальників. Їхня головна мета — переконати потенційних жертв пройти відеоогляд, що зрештою призводить до встановлення бекдору на основі Golang. Це зловмисне програмне забезпечення особливо підступне, призначене для виведення коштів у криптовалюті з гаманців MetaMask, а також дозволяє зловмисникам виконувати команди на скомпрометованому пристрої.
Поломка шкідливих компонентів FERRET
Дослідники визначили кілька компонентів, пов’язаних із сімейством шкідливих програм FERRET, кожен з яких виконує окрему функцію в послідовності атаки:
- FROSTYFERRET_UI: корисне навантаження на початковому етапі, часто замасковане під програми ChromeUpdate або CameraAccess.
- FRIENDLYFERRET_SECD: вторинний бекдор на основі Go, відомий як «com.apple.secd», раніше пов’язаний із кампанією Hidden Risk, націленою на криптовалютні бізнеси.
- MULTI_FROSTYFERRET_CMDCODES: файл конфігурації Go, що підтримує функцію бекдору другого етапу.
FlexibleFerret: встановлення стійкості на macOS
Також було виявлено окремий набір артефактів зловмисного програмного забезпечення під назвою FlexibleFerret. Цей варіант зосереджений на підтримці стійкості в інфікованій системі macOS за допомогою LaunchAgent. Зловмисне програмне забезпечення доставляється через пакет інсталятора під назвою InstallerAlert, що відображає функції «FROSTYFERRET_UI».
Розширення векторів атак за межі шукачів роботи
Хоча зразки FlexibleFerret розповсюджувалися як пакети інсталятора Apple, точний метод, використаний для переконання жертв виконати їх, залишається незрозумілим. Однак дані свідчать про те, що зловмисне програмне забезпечення також поширюється шляхом створення фальшивих проблем у законних сховищах GitHub. Ця зміна тактики сигналізує про ширшу стратегію націлювання, яка виходить за межі шукачів роботи, націлюючись на розробників та інших професіоналів у галузі технологій.
Оскільки північнокорейські кіберактори продовжують удосконалювати свої методи обману, експерти з безпеки закликають до підвищеної пильності під час взаємодії з онлайн-пропозиціями роботи та підказками про встановлення програмного забезпечення.
