Malware FERRET: Uma ameaça sofisticada disfarçada de entrevistas de emprego
Table of Contents
Um esquema de recrutamento enganoso
Os cibercriminosos refinam continuamente suas estratégias para explorar indivíduos desavisados, e um exemplo recente é o surgimento do malware FERRET. Essa coleção sofisticada de ameaças direcionadas ao macOS foi vinculada a atores norte-coreanos responsáveis pela campanha Contagious Interview. Disfarçado como parte de um processo legítimo de entrevista de emprego, o malware FERRET é implantado por meio de técnicas enganosas que convencem os alvos a instalar software prejudicial sob o disfarce de ferramentas de reunião virtual.
O método de ataque gira em torno de divulgação de recrutamento fraudulento, onde as vítimas são convidadas a participar de uma entrevista online. No entanto, em vez de uma videochamada padrão, elas recebem um link enganoso que gera uma mensagem de erro, solicitando que baixem um aplicativo como VCam ou CameraAccess. Esses programas aparentemente inofensivos agem como um mecanismo de entrega para o malware FERRET, incorporando código malicioso no sistema da vítima.
O que o malware FERRET pretende alcançar
O malware FERRET não é um programa único, mas um conjunto de componentes projetados para se infiltrar em dispositivos macOS e extrair informações valiosas. Uma vez executado, ele implanta uma cepa baseada em JavaScript chamada BeaverTail, que coleta ativamente dados confidenciais de navegadores da web e carteiras de criptomoedas. Esta fase inicial também permite a execução de um backdoor baseado em Python conhecido como InvisibleFerret, estendendo ainda mais o controle do malware sobre a máquina comprometida.
As evidências sugerem que o malware FERRET evoluiu, incorporando payloads adicionais, como OtterCookie, o que facilita a coleta de dados e o comprometimento do sistema. Os invasores aproveitam técnicas avançadas de engenharia social, contatando as vítimas via LinkedIn enquanto se passam por recrutadores. Eles incentivam os alvos a concluir uma avaliação em vídeo, levando, em última análise, à instalação de um backdoor baseado em Golang capaz de exfiltrar fundos de criptomoeda e executar comandos remotos.
As implicações do malware FERRET
O surgimento do malware FERRET destaca uma mudança contínua nas táticas de crimes cibernéticos, particularmente ao mirar usuários do macOS por meio de engenharia social. Tal ataque tem implicações significativas para indivíduos e empresas. Vítimas que instalam o malware sem saber correm o risco de perder credenciais de login, ativos financeiros e outros dados privados, enquanto organizações que empregam esses indivíduos podem enfrentar violações de segurança mais amplas.
Várias versões do malware foram identificadas, com nomes como FRIENDLYFERRET_SECD, FROSTYFERRET_UI e MULTI_FROSTYFERRET_CMDCODES. Esses componentes são estrategicamente projetados para se misturar aos sistemas macOS, tornando a detecção e a remoção mais desafiadoras. A carga útil do primeiro estágio, geralmente entregue por meio de atualizações falsas do navegador ou do sistema, estabelece a base para novas infecções, incluindo a implantação de backdoors secundários que permitem acesso persistente.
Expandindo vetores de ataque
Inicialmente, o malware FERRET era distribuído por meio de entrevistas de emprego fraudulentas, mas novas evidências sugerem que os invasores estão ampliando seu alcance. Pesquisadores descobriram que o malware também está sendo espalhado via GitHub, onde adversários criam problemas falsos em repositórios legítimos para enganar desenvolvedores a executar comandos prejudiciais. Essa diversificação indica que a campanha não está focada somente em candidatos a emprego, mas se estende a engenheiros de software e profissionais de TI também.
A descoberta de pacotes npm maliciosos relacionados, como postcss-optimizer, agrava ainda mais o problema. Ao imitar componentes de software legítimos com ampla adoção, os invasores aumentam suas chances de comprometer ambientes de desenvolvedores em vários sistemas operacionais, incluindo Windows, macOS e Linux.
Táticas de Evasão e Desafios de Detecção
O malware FERRET emprega uma série de técnicas para evitar a detecção. Um método notável é uma abordagem no estilo ClickFix, que manipula os usuários para executar um comando em seu Terminal macOS para supostamente corrigir um problema com seu microfone ou câmera. Essa técnica efetivamente contorna as medidas de segurança tradicionais, fazendo com que o alvo execute o código malicioso voluntariamente.
Além disso, o uso de um mecanismo LaunchAgent — identificado na variante FlexibleFerret — garante que o malware permaneça ativo mesmo após uma reinicialização do sistema. Essa estratégia de persistência permite que os invasores mantenham acesso de longo prazo às máquinas infectadas, aumentando a probabilidade de exfiltração de dados e exploração adicional.
Lidando com o cenário de ameaças
A descoberta do malware FERRET ressalta a necessidade de maior vigilância na segurança cibernética, particularmente entre profissionais envolvidos em buscas de emprego ou desenvolvimento de software. Embora o macOS tenha sido percebido há muito tempo como uma plataforma mais segura do que o Windows, a crescente prevalência de ameaças sofisticadas como o FERRET demonstra que nenhum sistema é totalmente imune a ataques cibernéticos.
Organizações e indivíduos devem ter cautela ao se envolver com recrutadores desconhecidos ou baixar software de fontes não oficiais. Verificar a legitimidade de ofertas de emprego, cruzar identidades de recrutadores e evitar a execução de comandos de fontes desconhecidas pode ajudar a mitigar os riscos associados a esses tipos de ameaças cibernéticas.
A natureza evolutiva do malware FERRET sugere que os cibercriminosos estão continuamente adaptando suas técnicas para maximizar o sucesso. À medida que os pesquisadores de segurança descobrem novas variantes, continua sendo crucial que os usuários se mantenham informados e adotem medidas de segurança proativas para proteger seus dispositivos e dados de acesso não autorizado.
