Malware FERRET: una amenaza sofisticada que se hace pasar por entrevistas de trabajo

Un plan de reclutamiento engañoso

Los cibercriminales perfeccionan continuamente sus estrategias para explotar a individuos desprevenidos, y un ejemplo reciente es la aparición del malware FERRET. Esta sofisticada colección de amenazas dirigidas a macOS se ha vinculado a los actores norcoreanos responsables de la campaña Contagious Interview. Disfrazado como parte de un proceso legítimo de entrevistas de trabajo, el malware FERRET se implementa mediante técnicas engañosas que convencen a las víctimas de instalar software dañino bajo la apariencia de herramientas de reuniones virtuales.

El método de ataque consiste en una campaña fraudulenta de reclutamiento, en la que se invita a las víctimas a participar en una entrevista en línea. Sin embargo, en lugar de una videollamada estándar, reciben un enlace engañoso que genera un mensaje de error y les solicita que descarguen una aplicación como VCam o CameraAccess. Estos programas aparentemente inofensivos actúan como un mecanismo de distribución del malware FERRET, que incorpora código malicioso en el sistema de la víctima.

Qué pretende conseguir el malware FERRET

El malware FERRET no es un único programa, sino un conjunto de componentes diseñados para infiltrarse en dispositivos macOS y extraer información valiosa. Una vez ejecutado, despliega una cepa basada en JavaScript llamada BeaverTail, que recopila activamente datos confidenciales de navegadores web y billeteras de criptomonedas. Esta fase inicial también permite la ejecución de una puerta trasera basada en Python conocida como InvisibleFerret, que extiende aún más el control del malware sobre la máquina comprometida.

Las pruebas sugieren que el malware FERRET ha evolucionado, incorporando cargas útiles adicionales como OtterCookie, que facilita la recolección de datos y la vulneración del sistema. Los atacantes utilizan técnicas avanzadas de ingeniería social, contactando a las víctimas a través de LinkedIn haciéndose pasar por reclutadores. Animan a las víctimas a completar una evaluación en video, lo que finalmente conduce a la instalación de una puerta trasera basada en Golang capaz de exfiltrar fondos de criptomonedas y ejecutar comandos remotos.

Las implicaciones del malware FERRET

La aparición del malware FERRET pone de relieve un cambio en las tácticas de los delitos informáticos, en particular en lo que respecta a los ataques a usuarios de macOS mediante ingeniería social. Este tipo de ataques tiene importantes consecuencias tanto para las personas como para las empresas. Las víctimas que instalan el malware sin saberlo corren el riesgo de perder credenciales de inicio de sesión, activos financieros y otros datos privados, mientras que las organizaciones que emplean a estas personas podrían enfrentarse a vulneraciones de seguridad más amplias.

Se han identificado varias versiones del malware, con nombres como FRIENDLYFERRET_SECD, FROSTYFERRET_UI y MULTI_FROSTYFERRET_CMDCODES. Estos componentes están diseñados estratégicamente para integrarse en los sistemas macOS, lo que dificulta su detección y eliminación. La carga útil de la primera etapa, que a menudo se distribuye a través de actualizaciones falsas del navegador o del sistema, establece las bases para futuras infecciones, incluida la implementación de puertas traseras secundarias que permiten el acceso persistente.

Expansión de los vectores de ataque

Inicialmente, el malware FERRET se distribuía a través de entrevistas de trabajo fraudulentas, pero nuevas evidencias sugieren que los atacantes están ampliando su alcance. Los investigadores han descubierto que el malware también se está difundiendo a través de GitHub, donde los adversarios crean problemas falsos en repositorios legítimos para engañar a los desarrolladores y lograr que ejecuten comandos dañinos. Esta diversificación indica que la campaña no se centra únicamente en quienes buscan empleo, sino que también se extiende a los ingenieros de software y a los profesionales de TI.

El descubrimiento de paquetes npm maliciosos relacionados, como postcss-optimizer, agrava aún más el problema. Al imitar componentes de software legítimos que se han adoptado ampliamente, los atacantes aumentan sus posibilidades de comprometer los entornos de desarrollo en varios sistemas operativos, incluidos Windows, macOS y Linux.

Tácticas de evasión y desafíos de detección

El malware FERRET emplea una variedad de técnicas para evitar ser detectado. Un método notable es un enfoque de estilo ClickFix, que manipula a los usuarios para que ejecuten un comando en su terminal macOS para supuestamente solucionar un problema con su micrófono o cámara. Esta técnica elude de manera efectiva las medidas de seguridad tradicionales al hacer que el objetivo ejecute el código malicioso voluntariamente.

Además, el uso de un mecanismo LaunchAgent (identificado en la variante FlexibleFerret) garantiza que el malware permanezca activo incluso después de reiniciar el sistema. Esta estrategia de persistencia permite a los atacantes mantener el acceso a largo plazo a las máquinas infectadas, lo que aumenta la probabilidad de exfiltración de datos y mayor explotación.

Abordar el panorama de amenazas

El descubrimiento del malware FERRET subraya la necesidad de aumentar la vigilancia en materia de ciberseguridad, en particular entre los profesionales que buscan empleo o desarrollan software. Si bien macOS se considera desde hace tiempo una plataforma más segura que Windows, la creciente prevalencia de amenazas sofisticadas como FERRET demuestra que ningún sistema es totalmente inmune a los ciberataques.

Las organizaciones y las personas deben tener cuidado al relacionarse con reclutadores desconocidos o al descargar software de fuentes no oficiales. Verificar la legitimidad de las ofertas de trabajo, verificar la identidad de los reclutadores y evitar la ejecución de comandos de fuentes desconocidas puede ayudar a mitigar los riesgos asociados con este tipo de amenazas cibernéticas.

La naturaleza cambiante del malware FERRET sugiere que los cibercriminales están adaptando continuamente sus técnicas para maximizar el éxito. A medida que los investigadores de seguridad descubren nuevas variantes, sigue siendo crucial que los usuarios se mantengan informados y adopten medidas de seguridad proactivas para proteger sus dispositivos y datos del acceso no autorizado.

En Willa
February 5, 2025
Mac Malware, Malware
Spanish
February 5, 2025
Mac Malware, Malware

Entradas populares

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 11 months

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 12 days

Tome nota: alguien lo agregó como su estafa de correo...

Hace 10 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 7 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 19 days

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 11 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.