FERRET 惡意軟體

據發現，「傳染性面試」活動背後的北韓網路特工以工作面試流程為幌子，部署了統稱為 FERRET 的 macOS 惡意軟體。毫無戒心的目標物會透過一個連結與所謂的招募人員進行交流，然後會產生一條錯誤訊息，提示他們安裝或更新 VCam 或 CameraAccess 等軟體才能繼續面試。

傳染性訪談：持續不斷的網路間諜活動

「傳染性訪談」最初於 2023 年底被發現，是一場持續的活動，旨在透過欺騙性的 npm 套件和偽裝成視訊會議軟體的本機應用程式來感染受害者。該活動還以 DeceptiveDevelopment 和 DEV#POPPER 等名稱進行追踪，不斷發展，採用的策略越來越複雜。

放棄 BeaverTail 和 InvisibleFerret

攻擊序列通常會導致部署 BeaverTail，這是一種基於 JavaScript 的惡意軟體，旨在從瀏覽器和加密貨幣錢包中提取敏感資料。該惡意軟體還可作為附加負載的傳送機制—基於 Python 的後門，稱為 InvisibleFerret。

OtterCookie：另一層有害活動

2024 年 12 月，日本的網路安全研究人員發現了攻擊鏈中的另一個元件：名為OtterCookie的惡意軟體變種。該 JavaScript 惡意軟體被配置為獲取和執行其他有害負載，從而進一步擴展感染的功能。

利用 ClickFix 式欺騙手段完善逃避策略

當 FERRET 惡意軟體家族於 2024 年底被發現時，研究人員注意到攻擊者正在改進他們的方法以更好地逃避偵測。其中一種值得注意的技術涉及一種 ClickFix 風格的方法，以解決攝影機和麥克風存取問題為藉口，誘騙用戶在 macOS 終端應用程式中複製並執行不安全的命令。

透過 LinkedIn 鎖定求職者

這些攻擊的初始階段通常始於 LinkedIn 拓展，威脅行為者冒充招募人員。他們的主要目標是說服潛在受害者接受視訊評估，最終導致安裝基於 Golang 的後門。這種惡意軟體特別陰險，旨在從 MetaMask 錢包中竊取加密貨幣資金，同時還允許攻擊者在受感染的裝置上執行命令。

分解FERRET惡意軟體元件

研究人員已經確定了與 FERRET 惡意軟體家族相關的幾個元件，每個元件在攻擊序列中都發揮著不同的作用：

• FROSTYFERRET_UI：初始階段的有效載荷，通常偽裝成 ChromeUpdate 或 CameraAccess 應用程式。
• FRIENDLYFERRET_SECD：一種基於 Go 的二級後門，稱為“com.apple.secd”，先前與針對加密貨幣業務的隱藏風險活動有關。
• MULTI_FROSTYFERRET_CMDCODES：支援第二階段後門功能的 Go 設定檔。

FlexibleFerret：在 macOS 上建立持久性

我們還發現了一組單獨的惡意軟體產物，稱為 FlexibleFerret。該變體專注於透過使用 LaunchAgent 在受感染的 macOS 系統中保持持久性。該惡意軟體透過名為 InstallerAlert 的安裝程式包進行傳送，其功能與「FROSTYFERRET_UI」相似。

將攻擊媒介擴展到求職者以外

雖然 FlexibleFerret 樣本以 Apple Installer 套件的形式分發，但用於說服受害者執行它們的具體方法仍不清楚。然而，有證據表明，該惡意軟體也透過在合法的 GitHub 儲存庫上創建虛假問題進行傳播。這種策略的轉變顯示了一種更廣泛的目標策略，其範圍不僅限於求職者，還針對科技業的開發人員和其他專業人士。

隨著北韓網路攻擊者不斷改進其欺騙手段，安全專家呼籲，在接觸網路工作機會和軟體安裝提示時要提高警覺。