Malware FERRET: una minaccia sofisticata mascherata da colloqui di lavoro

Uno schema di reclutamento ingannevole

I criminali informatici affinano continuamente le loro strategie per sfruttare individui ignari e un esempio recente è l'emergere del malware FERRET. Questa sofisticata raccolta di minacce mirate a macOS è stata collegata ad attori nordcoreani responsabili della campagna Contagious Interview. Travestito da parte di un legittimo processo di colloquio di lavoro, il malware FERRET viene distribuito tramite tecniche ingannevoli che convincono i bersagli a installare software dannosi sotto le mentite spoglie di strumenti per riunioni virtuali.

Il metodo di attacco ruota attorno a un reclutamento fraudolento, in cui le vittime vengono invitate a partecipare a un colloquio online. Tuttavia, invece di una videochiamata standard, ricevono un collegamento fuorviante che genera un messaggio di errore, che le spinge a scaricare un'applicazione come VCam o CameraAccess. Questi programmi apparentemente innocui agiscono come meccanismo di distribuzione per il malware FERRET, incorporando codice dannoso nel sistema della vittima.

Cosa si propone di realizzare il malware FERRET

Il malware FERRET non è un singolo programma, ma una suite di componenti progettati per infiltrarsi nei dispositivi macOS ed estrarre informazioni preziose. Una volta eseguito, distribuisce un ceppo basato su JavaScript chiamato BeaverTail, che raccoglie attivamente dati sensibili da browser Web e portafogli di criptovaluta. Questa fase iniziale consente anche l'esecuzione di una backdoor basata su Python nota come InvisibleFerret, estendendo ulteriormente il controllo del malware sulla macchina compromessa.

Le prove suggeriscono che il malware FERRET si è evoluto, incorporando payload aggiuntivi come OtterCookie, che facilitano l'ulteriore raccolta di dati e la compromissione del sistema. Gli aggressori sfruttano tecniche avanzate di ingegneria sociale, contattando le vittime tramite LinkedIn mentre si spacciano per reclutatori. Incoraggiano i bersagli a completare una valutazione video, che alla fine porta all'installazione di una backdoor basata su Golang in grado di esfiltrare fondi di criptovaluta ed eseguire comandi remoti.

Le implicazioni del malware FERRET

L'emergere del malware FERRET evidenzia un cambiamento in corso nelle tattiche del cybercrimine, in particolare nel prendere di mira gli utenti macOS tramite ingegneria sociale. Un attacco di questo tipo ha implicazioni significative sia per gli individui che per le aziende. Le vittime che installano inconsapevolmente il malware rischiano di perdere credenziali di accesso, asset finanziari e altri dati privati, mentre le organizzazioni che impiegano questi individui potrebbero affrontare violazioni della sicurezza più ampie.

Sono state identificate diverse versioni del malware, con nomi quali FRIENDLYFERRET_SECD, FROSTYFERRET_UI e MULTI_FROSTYFERRET_CMDCODES. Questi componenti sono progettati strategicamente per integrarsi nei sistemi macOS, rendendo più difficili il rilevamento e la rimozione. Il payload di prima fase, spesso distribuito tramite falsi aggiornamenti del browser o del sistema, stabilisce le basi per ulteriori infezioni, tra cui l'implementazione di backdoor secondarie che consentono l'accesso persistente.

Espansione dei vettori di attacco

Inizialmente, il malware FERRET veniva distribuito tramite colloqui di lavoro fraudolenti, ma nuove prove suggeriscono che gli aggressori stanno ampliando la loro portata. I ricercatori hanno scoperto che il malware viene diffuso anche tramite GitHub, dove gli avversari creano falsi problemi su repository legittimi per indurre gli sviluppatori a eseguire comandi dannosi. Questa diversificazione indica che la campagna non è focalizzata esclusivamente sui candidati, ma si estende anche agli ingegneri del software e ai professionisti IT.

La scoperta di pacchetti npm dannosi correlati, come postcss-optimizer, complica ulteriormente il problema. Imitando componenti software legittimi con ampia adozione, gli aggressori aumentano le loro possibilità di compromettere gli ambienti degli sviluppatori su più sistemi operativi, tra cui Windows, macOS e Linux.

Tattiche di evasione e sfide di rilevamento

Il malware FERRET impiega una serie di tecniche per evitare di essere rilevato. Un metodo degno di nota è un approccio in stile ClickFix, che manipola gli utenti inducendoli a eseguire un comando nel loro terminale macOS per presumibilmente risolvere un problema con il loro microfono o la loro fotocamera. Questa tecnica aggira efficacemente le misure di sicurezza tradizionali facendo sì che il bersaglio esegua volontariamente il codice dannoso.

Inoltre, l'uso di un meccanismo LaunchAgent, identificato nella variante FlexibleFerret, garantisce che il malware rimanga attivo anche dopo un riavvio del sistema. Questa strategia di persistenza consente agli aggressori di mantenere un accesso a lungo termine alle macchine infette, aumentando la probabilità di esfiltrazione dei dati e ulteriore sfruttamento.

Affrontare il panorama delle minacce

La scoperta del malware FERRET sottolinea la necessità di una maggiore vigilanza nella sicurezza informatica, in particolare tra i professionisti impegnati nella ricerca di lavoro o nello sviluppo di software. Mentre macOS è stato a lungo percepito come una piattaforma più sicura di Windows, la crescente prevalenza di minacce sofisticate come FERRET dimostra che nessun sistema è completamente immune agli attacchi informatici.

Le organizzazioni e gli individui dovrebbero prestare attenzione quando interagiscono con reclutatori non familiari o scaricano software da fonti non ufficiali. Verificare la legittimità delle offerte di lavoro, effettuare controlli incrociati delle identità dei reclutatori ed evitare l'esecuzione di comandi da fonti sconosciute può aiutare a mitigare i rischi associati a questi tipi di minacce informatiche.

La natura in evoluzione del malware FERRET suggerisce che i criminali informatici stanno adattando continuamente le loro tecniche per massimizzare il successo. Mentre i ricercatori della sicurezza scoprono nuove varianti, rimane fondamentale per gli utenti rimanere informati e adottare misure di sicurezza proattive per proteggere i loro dispositivi e dati da accessi non autorizzati.

Entro il Willa
February 5, 2025
Mac Malware, Malware
Italiano
February 5, 2025
Mac Malware, Malware

Post popolari

Cos'è il file OperaGXSetup.exe ed è dannoso?

11 months fa

Eporner.com e perché i suoi pop-up eccessivi sono rischiosi

12 days fa

Prendi nota: qualcuno ti ha aggiunto come truffa tramite email...

10 months fa

HackTool:Win32/Crack: una minaccia dannosa che può danneggiare...

7 months fa

Una minaccia potenzialmente seria: Trojan:Win32/Suschil!rfn

19 days fa

Cos'è la minaccia del cavallo di Troia Packunwan e come può...

11 months fa
Italiano
Caricamento in corso...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.