Logiciel malveillant FERRET : une menace sophistiquée se faisant passer pour des entretiens d'embauche

Un système de recrutement trompeur

Les cybercriminels affinent sans cesse leurs stratégies pour exploiter les individus sans méfiance. L’émergence récente du malware FERRET en est un exemple. Cette collection sophistiquée de menaces ciblant macOS a été liée aux acteurs nord-coréens responsables de la campagne Contagious Interview. Déguisé en partie d’un processus d’entretien d’embauche légitime, le malware FERRET est déployé au moyen de techniques trompeuses qui convainquent les cibles d’installer des logiciels malveillants sous couvert d’outils de réunion virtuelle.

La méthode d'attaque consiste à recruter des personnes de manière frauduleuse, en les invitant à participer à un entretien en ligne. Cependant, au lieu d'un appel vidéo classique, les victimes reçoivent un lien trompeur qui génère un message d'erreur les invitant à télécharger une application telle que VCam ou CameraAccess. Ces programmes apparemment inoffensifs agissent comme un mécanisme de diffusion du malware FERRET, en intégrant un code malveillant dans le système de la victime.

Objectifs du logiciel malveillant FERRET

Le malware FERRET n'est pas un programme unique, mais une suite de composants conçus pour infiltrer les appareils macOS et extraire des informations précieuses. Une fois exécuté, il déploie une souche JavaScript appelée BeaverTail, qui collecte activement des données sensibles à partir des navigateurs Web et des portefeuilles de cryptomonnaies. Cette phase initiale permet également l'exécution d'une porte dérobée basée sur Python appelée InvisibleFerret, étendant encore davantage le contrôle du malware sur la machine compromise.

Les preuves suggèrent que le malware FERRET a évolué, intégrant des charges utiles supplémentaires telles que OtterCookie, qui facilitent la collecte de données et la compromission du système. Les attaquants exploitent des techniques avancées d'ingénierie sociale, contactant les victimes via LinkedIn tout en se faisant passer pour des recruteurs. Ils encouragent les cibles à compléter une évaluation vidéo, ce qui conduit finalement à l'installation d'une porte dérobée basée sur Golang capable d'exfiltrer des fonds en cryptomonnaie et d'exécuter des commandes à distance.

Les implications du malware FERRET

L’émergence du malware FERRET met en évidence un changement constant dans les tactiques de cybercriminalité, notamment en ciblant les utilisateurs de macOS par le biais de l’ingénierie sociale. Une telle attaque a des conséquences importantes pour les particuliers comme pour les entreprises. Les victimes qui installent le malware sans le savoir risquent de perdre leurs identifiants de connexion, leurs actifs financiers et d’autres données privées, tandis que les organisations qui emploient ces personnes pourraient être confrontées à des failles de sécurité plus vastes.

Plusieurs versions du malware ont été identifiées, avec des noms tels que FRIENDLYFERRET_SECD, FROSTYFERRET_UI et MULTI_FROSTYFERRET_CMDCODES. Ces composants sont stratégiquement conçus pour s'intégrer aux systèmes macOS, ce qui rend la détection et la suppression plus difficiles. La charge utile de première étape, souvent délivrée via de fausses mises à jour du navigateur ou du système, établit les bases d'infections ultérieures, notamment le déploiement de portes dérobées secondaires qui permettent un accès persistant.

Expansion des vecteurs d'attaque

Au départ, le malware FERRET était diffusé via des entretiens d’embauche frauduleux, mais de nouvelles preuves suggèrent que les attaquants élargissent leur portée. Les chercheurs ont découvert que le malware se propage également via GitHub, où les adversaires créent de faux problèmes sur des référentiels légitimes pour inciter les développeurs à exécuter des commandes nuisibles. Cette diversification indique que la campagne ne s’adresse pas uniquement aux demandeurs d’emploi, mais s’étend également aux ingénieurs logiciels et aux professionnels de l’informatique.

La découverte de packages npm malveillants associés, tels que postcss-optimizer, aggrave encore le problème. En imitant des composants logiciels légitimes largement adoptés, les attaquants augmentent leurs chances de compromettre les environnements de développement sur plusieurs systèmes d'exploitation, notamment Windows, macOS et Linux.

Tactiques d'évasion et défis de détection

Le malware FERRET utilise une série de techniques pour éviter d'être détecté. L'une des méthodes les plus connues est une approche de type ClickFix, qui manipule les utilisateurs pour qu'ils exécutent une commande dans leur terminal macOS afin de résoudre un problème avec leur microphone ou leur caméra. Cette technique contourne efficacement les mesures de sécurité traditionnelles en obligeant la cible à exécuter volontairement le code malveillant.

De plus, l'utilisation d'un mécanisme LaunchAgent, identifié dans la variante FlexibleFerret, garantit que le malware reste actif même après un redémarrage du système. Cette stratégie de persistance permet aux attaquants de conserver un accès à long terme aux machines infectées, augmentant ainsi la probabilité d'exfiltration de données et d'exploitation ultérieure.

Faire face au paysage des menaces

La découverte du malware FERRET souligne la nécessité d’une vigilance accrue en matière de cybersécurité, notamment chez les professionnels engagés dans la recherche d’emploi ou le développement de logiciels. Si macOS est depuis longtemps perçu comme une plateforme plus sécurisée que Windows, la prévalence croissante de menaces sophistiquées comme FERRET démontre qu’aucun système n’est totalement à l’abri des cyberattaques.

Les organisations et les particuliers doivent faire preuve de prudence lorsqu’ils interagissent avec des recruteurs inconnus ou lorsqu’ils téléchargent des logiciels provenant de sources non officielles. Vérifier la légitimité des offres d’emploi, vérifier l’identité des recruteurs et éviter d’exécuter des commandes provenant de sources inconnues peuvent contribuer à atténuer les risques associés à ces types de cybermenaces.

La nature évolutive du malware FERRET suggère que les cybercriminels adaptent en permanence leurs techniques pour maximiser leur succès. Alors que les chercheurs en sécurité découvrent de nouvelles variantes, il reste essentiel que les utilisateurs restent informés et adoptent des mesures de sécurité proactives pour protéger leurs appareils et leurs données contre tout accès non autorisé.

Par Willa
February 5, 2025
Mac Malware, Malware
Français
February 5, 2025
Mac Malware, Malware

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.