Phần mềm độc hại FERRET
Các điệp viên mạng Bắc Triều Tiên đứng sau chiến dịch Phỏng vấn lây nhiễm đã bị phát hiện triển khai các chủng phần mềm độc hại macOS được gọi chung là FERRET dưới vỏ bọc của một quy trình phỏng vấn xin việc. Các mục tiêu không nghi ngờ được dẫn đến giao tiếp với một nhà tuyển dụng được cho là thông qua một liên kết tạo ra thông báo lỗi, nhắc nhở họ cài đặt hoặc cập nhật phần mềm như VCam hoặc CameraAccess để tiến hành phỏng vấn.
Mục lục
Phỏng vấn lây lan: Nỗ lực gián điệp mạng dai dẳng
Ban đầu được phát hiện vào cuối năm 2023, Contagious Interview là một chiến dịch liên tục nhằm mục đích lây nhiễm cho nạn nhân thông qua các gói npm lừa đảo và các ứng dụng gốc đóng vai trò là phần mềm hội nghị truyền hình. Chiến dịch này, cũng được theo dõi dưới các tên như DeceptiveDevelopment và DEV#POPPER, tiếp tục phát triển, sử dụng các chiến thuật ngày càng tinh vi.
Thả BeaverTail và InvisibleFerret
Chuỗi tấn công thường dẫn đến việc triển khai BeaverTail, một phần mềm độc hại dựa trên JavaScript được thiết kế để trích xuất dữ liệu nhạy cảm từ trình duyệt và ví tiền điện tử. Phần mềm độc hại này cũng hoạt động như một cơ chế phân phối cho một tải trọng bổ sung—một backdoor dựa trên Python được gọi là InvisibleFerret.
OtterCookie: Một lớp hoạt động có hại khác
Vào tháng 12 năm 2024, các nhà nghiên cứu an ninh mạng từ Nhật Bản đã xác định một thành phần khác trong chuỗi tấn công: một biến thể phần mềm độc hại có tên là OtterCookie . Phần mềm độc hại JavaScript này được cấu hình để tìm nạp và thực thi các tải trọng có hại bổ sung, mở rộng hơn nữa khả năng lây nhiễm.
Tinh chỉnh các chiến thuật né tránh với sự lừa dối theo phong cách ClickFix
Khi họ phần mềm độc hại FERRET được phát hiện vào cuối năm 2024, các nhà nghiên cứu lưu ý rằng những kẻ tấn công đang tinh chỉnh các phương pháp của chúng để tránh bị phát hiện tốt hơn. Một kỹ thuật đáng chú ý liên quan đến cách tiếp cận theo kiểu ClickFix, lừa người dùng sao chép và thực hiện lệnh không an toàn trong ứng dụng macOS Terminal với lý do giải quyết các sự cố truy cập camera và micrô.
Nhắm mục tiêu người tìm việc thông qua LinkedIn
Giai đoạn đầu của các cuộc tấn công này thường bắt đầu bằng hoạt động tiếp cận LinkedIn, nơi các tác nhân đe dọa đóng vai trò là người tuyển dụng. Mục tiêu chính của chúng là thuyết phục các nạn nhân tiềm năng tham gia đánh giá video, cuối cùng dẫn đến việc cài đặt một cửa hậu dựa trên Golang. Phần mềm độc hại này đặc biệt nguy hiểm, được thiết kế để rút tiền điện tử từ MetaMask Wallets đồng thời cho phép kẻ tấn công thực hiện các lệnh trên thiết bị bị xâm phạm.
Phân tích các thành phần phần mềm độc hại FERRET
Các nhà nghiên cứu đã xác định một số thành phần liên quan đến họ phần mềm độc hại FERRET, mỗi thành phần có chức năng riêng biệt trong chuỗi tấn công:
- FROSTYFERRET_UI: Tải trọng giai đoạn đầu, thường được ngụy trang dưới dạng ứng dụng ChromeUpdate hoặc CameraAccess.
- FRIENDLYFERRET_SECD: Một backdoor thứ cấp dựa trên Go được gọi là 'com.apple.secd', trước đây được liên kết với chiến dịch Hidden Risk nhắm vào các doanh nghiệp tiền điện tử.
- MULTI_FROSTYFERRET_CMDCODES: Tệp cấu hình Go hỗ trợ chức năng cửa sau giai đoạn hai.
FlexibleFerret: Thiết lập Persistence trên macOS
Một bộ hiện vật phần mềm độc hại riêng biệt, được gọi là FlexibleFerret, cũng đã được phát hiện. Biến thể này tập trung vào việc duy trì sự tồn tại trong hệ thống macOS bị nhiễm thông qua việc sử dụng LaunchAgent. Phần mềm độc hại được phân phối thông qua một gói cài đặt có tên là InstallerAlert, phản ánh chức năng của 'FROSTYFERRET_UI.'
Mở rộng các vectơ tấn công vượt ra ngoài người tìm việc
Trong khi các mẫu FlexibleFerret được phân phối dưới dạng các gói Apple Installer, phương pháp chính xác được sử dụng để thuyết phục nạn nhân thực hiện chúng vẫn chưa rõ ràng. Tuy nhiên, bằng chứng cho thấy phần mềm độc hại cũng đang được phát tán bằng cách tạo ra các vấn đề giả mạo trên các kho lưu trữ GitHub hợp pháp. Sự thay đổi trong chiến thuật này báo hiệu một chiến lược nhắm mục tiêu rộng hơn, vượt ra ngoài những người tìm việc, nhắm vào các nhà phát triển và các chuyên gia khác trong ngành công nghệ.
Trong khi tin tặc Triều Tiên tiếp tục tinh chỉnh các phương pháp lừa đảo, các chuyên gia an ninh kêu gọi mọi người phải cảnh giác cao độ khi tham gia vào các lời mời làm việc trực tuyến và lời nhắc cài đặt phần mềm.
