FERRET-Malware: Eine raffinierte Bedrohung, die sich als Vorstellungsgespräch tarnt

Ein betrügerisches Rekrutierungssystem

Cyberkriminelle verfeinern ihre Strategien ständig, um ahnungslose Personen auszunutzen. Ein aktuelles Beispiel hierfür ist die Entstehung der Malware FERRET. Diese ausgeklügelte Sammlung von Bedrohungen, die auf macOS abzielen, wurde mit nordkoreanischen Akteuren in Verbindung gebracht, die für die Kampagne „Contagious Interview“ verantwortlich sind. Getarnt als Teil eines legitimen Vorstellungsgesprächs wird die Malware FERRET mithilfe irreführender Techniken eingesetzt, die die Opfer dazu verleiten, unter dem Deckmantel virtueller Meeting-Tools schädliche Software zu installieren.

Bei der Angriffsmethode handelt es sich um betrügerische Rekrutierungsmaßnahmen, bei denen die Opfer zu einem Online-Interview eingeladen werden. Statt eines normalen Videoanrufs erhalten sie jedoch einen irreführenden Link, der eine Fehlermeldung generiert und sie auffordert, eine Anwendung wie VCam oder CameraAccess herunterzuladen. Diese scheinbar harmlosen Programme dienen als Übermittlungsmechanismus für die FERRET-Malware und betten bösartigen Code in das System des Opfers ein.

Was die FERRET-Malware erreichen will

Die FERRET-Malware ist kein einzelnes Programm, sondern eine Reihe von Komponenten, die darauf ausgelegt sind, macOS-Geräte zu infiltrieren und wertvolle Informationen zu extrahieren. Nach der Ausführung setzt sie einen JavaScript-basierten Stamm namens BeaverTail ein, der aktiv vertrauliche Daten aus Webbrowsern und Kryptowährungs-Wallets sammelt. Diese erste Phase ermöglicht auch die Ausführung einer Python-basierten Hintertür namens InvisibleFerret, wodurch die Kontrolle der Malware über die kompromittierte Maschine weiter ausgebaut wird.

Es gibt Hinweise darauf, dass sich die FERRET-Malware weiterentwickelt hat und zusätzliche Payloads wie OtterCookie enthält, die eine weitere Datenerfassung und Systemkompromittierung ermöglichen. Die Angreifer nutzen fortschrittliche Social-Engineering-Techniken und kontaktieren Opfer über LinkedIn, während sie sich als Anwerber ausgeben. Sie fordern die Opfer auf, eine Videobewertung durchzuführen, was letztendlich zur Installation einer Golang-basierten Hintertür führt, die in der Lage ist, Kryptowährungsgelder zu exfiltrieren und Remote-Befehle auszuführen.

Die Auswirkungen der FERRET-Malware

Das Auftauchen der FERRET-Malware unterstreicht einen anhaltenden Wandel in der Taktik der Cyberkriminalität, insbesondere bei der gezielten Angriffsstrategie auf macOS-Benutzer durch Social Engineering. Ein solcher Angriff hat erhebliche Folgen für Einzelpersonen und Unternehmen. Opfer, die die Malware unwissentlich installieren, riskieren den Verlust von Anmeldeinformationen, Finanzanlagen und anderen privaten Daten, während Organisationen, die diese Personen beschäftigen, mit umfassenderen Sicherheitsverletzungen konfrontiert sein könnten.

Es wurden mehrere Versionen der Malware identifiziert, mit Namen wie FRIENDLYFERRET_SECD, FROSTYFERRET_UI und MULTI_FROSTYFERRET_CMDCODES. Diese Komponenten sind strategisch so konzipiert, dass sie sich in macOS-Systeme einfügen, was die Erkennung und Entfernung erschwert. Die Nutzlast der ersten Stufe, die oft über gefälschte Browser- oder Systemupdates bereitgestellt wird, legt den Grundstein für weitere Infektionen, einschließlich der Bereitstellung sekundärer Hintertüren, die dauerhaften Zugriff ermöglichen.

Erweiterte Angriffsmethoden

Ursprünglich wurde die FERRET-Malware über betrügerische Bewerbungsgespräche verbreitet, doch neue Erkenntnisse deuten darauf hin, dass die Angreifer ihre Reichweite ausweiten. Forscher haben herausgefunden, dass die Malware auch über GitHub verbreitet wird, wo Angreifer gefälschte Probleme in legitimen Repositories erstellen, um Entwickler dazu zu bringen, schädliche Befehle auszuführen. Diese Diversifizierung deutet darauf hin, dass sich die Kampagne nicht nur an Arbeitssuchende richtet, sondern auch Softwareentwickler und IT-Experten umfasst.

Das Entdecken verwandter bösartiger npm-Pakete wie postcss-optimizer verschärft das Problem noch weiter. Indem Angreifer legitime, weit verbreitete Softwarekomponenten imitieren, erhöhen sie ihre Chancen, Entwicklerumgebungen auf mehreren Betriebssystemen, darunter Windows, macOS und Linux, zu kompromittieren.

Ausweichtaktiken und Erkennungsherausforderungen

Die FERRET-Malware verwendet eine Reihe von Techniken, um nicht entdeckt zu werden. Eine bemerkenswerte Methode ist ein ClickFix-ähnlicher Ansatz, der Benutzer dazu bringt, einen Befehl in ihrem macOS-Terminal auszuführen, um angeblich ein Problem mit ihrem Mikrofon oder ihrer Kamera zu beheben. Diese Technik umgeht effektiv herkömmliche Sicherheitsmaßnahmen, indem sie das Ziel dazu bringt, den Schadcode freiwillig auszuführen.

Darüber hinaus sorgt die Verwendung eines LaunchAgent-Mechanismus – identifiziert in der FlexibleFerret-Variante – dafür, dass die Malware auch nach einem Systemneustart aktiv bleibt. Diese Persistenzstrategie ermöglicht es Angreifern, langfristig Zugriff auf infizierte Maschinen zu behalten, was die Wahrscheinlichkeit einer Datenexfiltration und weiteren Ausnutzung erhöht.

Bewältigung der Bedrohungslandschaft

Die Entdeckung der FERRET-Malware unterstreicht die Notwendigkeit erhöhter Wachsamkeit in Sachen Cybersicherheit, insbesondere bei Berufstätigen, die auf Jobsuche oder in der Softwareentwicklung sind. Während macOS lange Zeit als sicherere Plattform als Windows galt, zeigt die zunehmende Verbreitung von ausgeklügelten Bedrohungen wie FERRET, dass kein System völlig immun gegen Cyberangriffe ist.

Organisationen und Einzelpersonen sollten vorsichtig sein, wenn sie mit unbekannten Personalvermittlern zusammenarbeiten oder Software aus inoffiziellen Quellen herunterladen. Die Überprüfung der Legitimität von Stellenangeboten, die Gegenprüfung der Identitäten der Personalvermittler und die Vermeidung der Ausführung von Befehlen aus unbekannten Quellen können dazu beitragen, die mit dieser Art von Cyberbedrohungen verbundenen Risiken zu mindern.

Die sich ständig weiterentwickelnde Natur der FERRET-Malware lässt darauf schließen, dass Cyberkriminelle ihre Techniken ständig anpassen, um ihren Erfolg zu maximieren. Da Sicherheitsforscher neue Varianten entdecken, ist es für Benutzer weiterhin von entscheidender Bedeutung, auf dem Laufenden zu bleiben und proaktive Sicherheitsmaßnahmen zu ergreifen, um ihre Geräte und Daten vor unbefugtem Zugriff zu schützen.

Bis Willa
February 5, 2025
Mac Malware, Malware
Deutsch
February 5, 2025
Mac Malware, Malware

Beliebte Beiträge

Was ist die Datei OperaGXSetup.exe und ist sie bösartig?

vor 11 months

Eporner.com und warum die übermäßigen Pop-ups riskant sind

vor 12 days

Beachten Sie: Jemand hat Sie als Betrugsversuch für die...

vor 10 months

HackTool:Win32/Crack: eine bösartige Bedrohung, die Ihr System...

vor 7 months

Eine potenziell ernste Bedrohung: Trojan:Win32/Suschil!rfn

vor 19 days

Was ist die Bedrohung durch den Packunwan-Trojaner und wie...

vor 11 months
Deutsch
Lade...

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.