FERRET マルウェア: 就職面接を装った巧妙な脅威

欺瞞的な採用計画

サイバー犯罪者は、疑いを持たない個人を搾取する戦略を絶えず改良しており、最近の例として FERRET マルウェアの出現が挙げられます。macOS を標的とするこの洗練された脅威の集合は、Contagious Interview キャンペーンの犯人である北朝鮮の攻撃者と関連付けられていました。FERRET マルウェアは、正当な就職面接プロセスの一部に偽装され、仮想会議ツールを装って有害なソフトウェアをインストールするよう標的を説得する欺瞞的な手法で展開されます。

この攻撃方法は、詐欺的な採用活動を中心に展開され、被害者はオンライン面接に参加するよう招待されます。しかし、被害者は標準的なビデオ通話ではなく、誤解を招くリンクを受け取り、エラー メッセージが表示され、VCam や CameraAccess などのアプリケーションをダウンロードするよう促されます。一見無害に見えるこれらのプログラムは、FERRET マルウェアの配信メカニズムとして機能し、被害者のシステムに悪意のあるコードを埋め込みます。

FERRETマルウェアの目的

FERRET マルウェアは単一のプログラムではなく、macOS デバイスに侵入して貴重な情報を抽出するように設計されたコンポーネント スイートです。実行されると、BeaverTail と呼ばれる JavaScript ベースの亜種が展開され、Web ブラウザーや暗号通貨ウォレットから機密データを積極的に収集します。この初期段階では、InvisibleFerret と呼ばれる Python ベースのバックドアの実行も可能になり、侵入したマシンに対するマルウェアの制御がさらに拡大されます。

証拠から、FERRET マルウェアは進化し、OtterCookie などの追加ペイロードを組み込んで、さらなるデータ収集とシステム侵害を容易にしていることがわかります。攻撃者は高度なソーシャル エンジニアリング手法を活用し、リクルーターを装って LinkedIn 経由で被害者に連絡します。攻撃者はターゲットにビデオ評価を完了するよう促し、最終的には暗号通貨資金を盗み出し、リモート コマンドを実行できる Golang ベースのバックドアをインストールします。

FERRETマルウェアの影響

FERRET マルウェアの出現は、サイバー犯罪の戦術、特にソーシャル エンジニアリングを通じて macOS ユーザーをターゲットにする戦術が現在も変化していることを浮き彫りにしています。このような攻撃は、個人と企業の両方に重大な影響を及ぼします。知らないうちにマルウェアをインストールした被害者は、ログイン認証情報、金融資産、その他の個人データを失うリスクがあり、これらの個人を雇用している組織は、より広範なセキュリティ侵害に直面する可能性があります。

このマルウェアには、FRIENDLYFERRET_SECD、FROSTYFERRET_UI、MULTI_FROSTYFERRET_CMDCODES などの名前を持つ複数のバージョンが特定されています。これらのコンポーネントは、macOS システムに溶け込むように戦略的に設計されており、検出と削除がさらに困難になっています。第 1 段階のペイロードは、偽のブラウザやシステム アップデートを通じて配信されることが多く、永続的なアクセスを可能にする二次的なバックドアの展開など、さらなる感染の基盤を築きます。

攻撃ベクトルの拡大

当初、FERRET マルウェアは不正な就職面接を通じて配布されていましたが、新たな証拠から、攻撃者がその範囲を広げていることが示唆されています。研究者らは、このマルウェアが GitHub 経由でも拡散していることを発見しました。GitHub では、攻撃者が正当なリポジトリに偽の問題を作成し、開発者を騙して有害なコマンドを実行させています。この多様化は、このキャンペーンが求職者だけを対象としているのではなく、ソフトウェア エンジニアや IT プロフェッショナルにも及んでいることを示しています。

postcss-optimizer などの関連する悪意のある npm パッケージの発見により、問題はさらに複雑化しています。広く採用されている正当なソフトウェア コンポーネントを模倣することで、攻撃者は Windows、macOS、Linux など複数のオペレーティング システムにわたる開発環境を侵害する可能性が高まります。

回避戦術と検出の課題

FERRET マルウェアは、検出を回避するためにさまざまな手法を採用しています。注目すべき手法の 1 つは ClickFix スタイルのアプローチで、ユーザーを操作して macOS ターミナルでコマンドを実行させ、マイクやカメラの問題を修正するように仕向けます。この手法は、ターゲットに悪意のあるコードを自発的に実行させることで、従来のセキュリティ対策を効果的に回避します。

さらに、FlexibleFerret の亜種で確認されている LaunchAgent メカニズムを使用すると、システムの再起動後もマルウェアがアクティブなままになります。この永続化戦略により、攻撃者は感染したマシンへの長期的なアクセスを維持できるため、データの流出やさらなる悪用の可能性が高まります。

脅威の状況への対応

FERRET マルウェアの発見は、特に就職活動やソフトウェア開発に携わる専門家の間で、サイバーセキュリティに対する警戒を強化する必要性を強調しています。macOS は長い間、Windows よりも安全なプラットフォームであると認識されてきましたが、FERRET のような高度な脅威が蔓延していることは、サイバー攻撃から完全に免れるシステムは存在しないことを示しています。

組織や個人は、なじみのないリクルーターと関わったり、非公式のソースからソフトウェアをダウンロードしたりする際には注意が必要です。求人の正当性を確認し、リクルーターの身元を照合し、不明なソースからのコマンドの実行を回避することで、こうしたタイプのサイバー脅威に関連するリスクを軽減できます。

FERRET マルウェアの進化は、サイバー犯罪者が成功を最大限にするためにその手法を継続的に適応させていることを示唆しています。セキュリティ研究者が新しい亜種を発見するにつれて、ユーザーが情報を入手し、デバイスとデータを不正アクセスから保護するための積極的なセキュリティ対策を講じることが依然として重要になります。