FERRET Kenkėjiška programa: sudėtinga grėsmė, maskuojama kaip darbo pokalbiai
Table of Contents
Apgaulinga įdarbinimo schema
Kibernetiniai nusikaltėliai nuolat tobulina savo strategijas, siekdami išnaudoti nieko neįtariančius asmenis, o vienas iš naujausių pavyzdžių yra FERRET kenkėjiškų programų atsiradimas. Ši sudėtinga „MacOS“ taikomų grėsmių kolekcija buvo susieta su Šiaurės Korėjos veikėjais, atsakingais už „Contagious Interview“ kampaniją. Užmaskuota kaip teisėto darbo pokalbio proceso dalis, FERRET kenkėjiška programa yra įdiegta apgaulingais metodais, kurie įtikina taikinius įdiegti kenksmingą programinę įrangą, prisidengiant virtualiais susitikimų įrankiais.
Atakos metodas sukasi apie nesąžiningą verbavimą, kai aukos kviečiamos dalyvauti interviu internetu. Tačiau vietoj standartinio vaizdo skambučio jie gauna klaidinantį nuorodą, kuri generuoja klaidos pranešimą, raginantį atsisiųsti programą, pvz., VCam arba CameraAccess. Šios iš pažiūros nekenksmingos programos veikia kaip FERRET kenkėjiškų programų pristatymo mechanizmas, įterpdamos kenkėjišką kodą į aukos sistemą.
Ką FERRET kenkėjiška programa siekia pasiekti
FERRET kenkėjiška programa yra ne viena programa, o komponentų rinkinys, skirtas įsiskverbti į MacOS įrenginius ir išgauti vertingą informaciją. Įvykdžius, jis diegia JavaScript pagrįstą padermę, vadinamą BeaverTail, kuri aktyviai renka slaptus duomenis iš žiniatinklio naršyklių ir kriptovaliutų piniginių. Šis pradinis etapas taip pat leidžia vykdyti Python pagrindu veikiančias galines duris, žinomas kaip InvisibleFerret, taip dar labiau išplečiant kenkėjiškos programos kontrolę pažeistame kompiuteryje.
Įrodymai rodo, kad FERRET kenkėjiška programa išsivystė, įtraukdama papildomų naudingųjų apkrovų, tokių kaip OtterCookie, kuri palengvina tolesnį duomenų rinkimą ir sistemos kompromisą. Užpuolikai naudoja pažangias socialinės inžinerijos technologijas, susisiekdami su aukomis per LinkedIn, apsimesdami verbuotojais. Jie skatina taikinius atlikti vaizdo įvertinimą, o tai galiausiai leidžia įdiegti Golang pagrindu veikiančias užpakalines duris, galinčias išfiltruoti kriptovaliutų lėšas ir vykdyti nuotolines komandas.
FERRET kenkėjiškos programos pasekmės
Kenkėjiškų programų FERRET atsiradimas rodo nuolatinį kibernetinių nusikaltimų taktikos pokytį, ypač nukreipiant „macOS“ naudotojus naudojant socialinę inžineriją. Toks išpuolis turi reikšmingų pasekmių tiek asmenims, tiek įmonėms. Aukos, kurios nesąmoningai įdiegia kenkėjišką programą, rizikuoja prarasti prisijungimo duomenis, finansinį turtą ir kitus privačius duomenis, o tuos asmenis įdarbinančios organizacijos gali susidurti su didesniais saugumo pažeidimais.
Buvo nustatytos kelios kenkėjiškos programos versijos, kurių pavadinimai yra FRIENDLYFERRET_SECD, FROSTYFERRET_UI ir MULTI_FROSTYFERRET_CMDCODES. Šie komponentai yra strategiškai sukurti taip, kad įsilietų į „macOS“ sistemas, todėl aptikimas ir pašalinimas tampa sudėtingesnis. Pirmojo etapo naudingoji apkrova, dažnai pristatoma naudojant netikrus naršyklės ar sistemos atnaujinimus, sukuria pagrindą tolimesnėms infekcijoms, įskaitant antrinių užpakalinių durų, leidžiančių nuolatinę prieigą, diegimą.
Atakos vektorių išplėtimas
Iš pradžių kenkėjiška programa FERRET buvo platinama per nesąžiningus darbo pokalbius, tačiau nauji įrodymai rodo, kad užpuolikai plečia savo pasiekiamumą. Tyrėjai nustatė, kad kenkėjiška programa taip pat plinta per „GitHub“, kur priešai sukuria netikras problemas teisėtose saugyklose, kad apgautų kūrėjus vykdyti kenksmingas komandas. Šis diversifikavimas rodo, kad kampanija skirta ne tik darbo ieškantiems asmenims, bet ir programinės įrangos inžinieriams bei IT specialistams.
Susijusių kenkėjiškų npm paketų, pvz., postcss optimizavimo priemonės, atradimas dar labiau apsunkina problemą. Imituodami teisėtus programinės įrangos komponentus, kurie plačiai naudojami, užpuolikai padidina savo galimybes pažeisti kūrėjų aplinką keliose operacinėse sistemose, įskaitant „Windows“, „MacOS“ ir „Linux“.
Vengimo taktika ir aptikimo iššūkiai
FERRET kenkėjiška programa naudoja daugybę metodų, kad būtų išvengta aptikimo. Vienas pastebimų metodų yra „ClickFix“ stiliaus metodas, kuris manipuliuoja naudotojais, kad jie paleistų komandą savo „MacOS“ terminale, kad tariamai išspręstų mikrofono ar fotoaparato problemą. Ši technika veiksmingai apeina tradicines saugos priemones, priversdama taikinį savanoriškai vykdyti kenkėjišką kodą.
Be to, naudojant LaunchAgent mechanizmą, identifikuotą FlexibleFerret variante, užtikrinama, kad kenkėjiška programa išliktų aktyvi net ir paleidus sistemą iš naujo. Ši atkaklumo strategija leidžia užpuolikams išlaikyti ilgalaikę prieigą prie užkrėstų mašinų, padidindama duomenų išfiltravimo ir tolesnio išnaudojimo tikimybę.
Kreipimasis į grėsmės kraštovaizdį
Kenkėjiškos FERRET programinės įrangos atradimas pabrėžia, kad kibernetinio saugumo srityje reikia būti budriems, ypač tarp specialistų, užsiimančių darbo paieškomis ar programinės įrangos kūrimu. Nors „macOS“ jau seniai buvo suvokiama kaip saugesnė platforma nei „Windows“, didėjantis sudėtingų grėsmių, tokių kaip FERRET, paplitimas rodo, kad jokia sistema nėra visiškai apsaugota nuo kibernetinių atakų.
Organizacijos ir asmenys turėtų būti atsargūs bendraudami su nepažįstamais verbuotojais arba atsisiųsdami programinę įrangą iš neoficialių šaltinių. Darbo pasiūlymų teisėtumo patikrinimas, kryžminis įdarbintojų tapatybės patikrinimas ir vengimas vykdyti komandas iš nežinomų šaltinių gali padėti sumažinti su tokio tipo kibernetinėmis grėsmėmis susijusią riziką.
Besivystantis FERRET kenkėjiškų programų pobūdis rodo, kad kibernetiniai nusikaltėliai nuolat pritaiko savo metodus, kad padidintų sėkmę. Saugumo tyrinėtojams atrandant naujus variantus, naudotojams išlieka labai svarbu būti informuotiems ir imtis aktyvių saugos priemonių, kad apsaugotų savo įrenginius ir duomenis nuo neteisėtos prieigos.
