Вредоносное ПО FERRET: сложная угроза, маскирующаяся под собеседования при приеме на работу
Table of Contents
Обманная схема вербовки
Киберпреступники постоянно совершенствуют свои стратегии для эксплуатации ничего не подозревающих людей, и одним из последних примеров является появление вредоносного ПО FERRET. Этот сложный набор угроз, нацеленных на macOS, был связан с северокорейскими субъектами, ответственными за кампанию Contagious Interview. Замаскированное под часть законного процесса собеседования, вредоносное ПО FERRET внедряется с помощью обманных методов, которые убеждают цели установить вредоносное программное обеспечение под видом инструментов для виртуальных встреч.
Метод атаки вращается вокруг мошеннического набора персонала, когда жертв приглашают принять участие в онлайн-интервью. Однако вместо стандартного видеозвонка они получают вводящую в заблуждение ссылку, которая генерирует сообщение об ошибке, побуждая их загрузить приложение, такое как VCam или CameraAccess. Эти, казалось бы, безобидные программы действуют как механизм доставки вредоносного ПО FERRET, внедряя вредоносный код в систему жертвы.
Чего хочет достичь вредоносная программа FERRET
Вредоносное ПО FERRET — это не отдельная программа, а набор компонентов, предназначенных для проникновения на устройства macOS и извлечения ценной информации. После запуска он развертывает штамм на основе JavaScript под названием BeaverTail, который активно собирает конфиденциальные данные из веб-браузеров и криптовалютных кошельков. Эта начальная фаза также позволяет запустить бэкдор на основе Python, известный как InvisibleFerret, что еще больше расширяет контроль вредоносного ПО над скомпрометированной машиной.
Данные свидетельствуют о том, что вредоносное ПО FERRET эволюционировало, включив в себя дополнительные полезные нагрузки, такие как OtterCookie, что облегчает дальнейший сбор данных и взлом системы. Злоумышленники используют передовые методы социальной инженерии, связываясь с жертвами через LinkedIn, выдавая себя за рекрутеров. Они побуждают цели пройти видеооценку, что в конечном итоге приводит к установке бэкдора на основе Golang, способного изымать криптовалютные средства и выполнять удаленные команды.
Последствия вредоносного ПО FERRET
Появление вредоносного ПО FERRET подчеркивает продолжающийся сдвиг в тактике киберпреступности, особенно в нацеливании на пользователей macOS с помощью социальной инженерии. Такая атака имеет значительные последствия как для отдельных лиц, так и для предприятий. Жертвы, которые неосознанно устанавливают вредоносное ПО, рискуют потерять учетные данные для входа, финансовые активы и другие личные данные, в то время как организации, в которых работают эти лица, могут столкнуться с более масштабными нарушениями безопасности.
Было выявлено несколько версий вредоносного ПО с такими названиями, как FRIENDLYFERRET_SECD, FROSTYFERRET_UI и MULTI_FROSTYFERRET_CMDCODES. Эти компоненты стратегически разработаны для встраивания в системы macOS, что затрудняет обнаружение и удаление. Полезная нагрузка первого этапа, часто доставляемая через поддельные обновления браузера или системы, закладывает основу для дальнейших заражений, включая развертывание вторичных бэкдоров, которые обеспечивают постоянный доступ.
Расширение векторов атак
Первоначально вредоносное ПО FERRET распространялось через мошеннические собеседования при приеме на работу, но новые данные свидетельствуют о том, что злоумышленники расширяют свои возможности. Исследователи обнаружили, что вредоносное ПО также распространяется через GitHub, где злоумышленники создают поддельные проблемы в легитимных репозиториях, чтобы обманом заставить разработчиков выполнить вредоносные команды. Такая диверсификация указывает на то, что кампания ориентирована не только на соискателей работы, но и на инженеров-программистов и ИТ-специалистов.
Обнаружение связанных вредоносных пакетов npm, таких как postcss-optimizer, еще больше усугубляет проблему. Подражая легитимным программным компонентам с широким распространением, злоумышленники увеличивают свои шансы на компрометацию сред разработки в различных операционных системах, включая Windows, macOS и Linux.
Тактика уклонения и проблемы обнаружения
Вредоносное ПО FERRET использует ряд методов, чтобы избежать обнаружения. Одним из примечательных методов является подход в стиле ClickFix, который манипулирует пользователями, заставляя их запустить команду в своем терминале macOS, чтобы якобы исправить проблему с микрофоном или камерой. Этот метод эффективно обходит традиционные меры безопасности, заставляя цель добровольно выполнять вредоносный код.
Кроме того, использование механизма LaunchAgent, выявленного в варианте FlexibleFerret, гарантирует, что вредоносное ПО останется активным даже после перезапуска системы. Эта стратегия сохранения позволяет злоумышленникам поддерживать долгосрочный доступ к зараженным машинам, увеличивая вероятность эксфильтрации данных и дальнейшей эксплуатации.
Рассмотрение ландшафта угроз
Обнаружение вредоносного ПО FERRET подчеркивает необходимость повышенной бдительности в сфере кибербезопасности, особенно среди профессионалов, занимающихся поиском работы или разработкой программного обеспечения. Хотя macOS долгое время воспринималась как более безопасная платформа, чем Windows, растущая распространенность сложных угроз, таких как FERRET, демонстрирует, что ни одна система не защищена полностью от кибератак.
Организации и частные лица должны проявлять осторожность при взаимодействии с незнакомыми рекрутерами или загрузке программного обеспечения из неофициальных источников. Проверка законности предложений о работе, перекрестная проверка личности рекрутера и избегание выполнения команд из неизвестных источников могут помочь снизить риски, связанные с этими типами киберугроз.
Развивающаяся природа вредоносного ПО FERRET предполагает, что киберпреступники постоянно адаптируют свои методы для максимального успеха. Поскольку исследователи безопасности обнаруживают новые варианты, пользователям по-прежнему важно быть в курсе событий и принимать проактивные меры безопасности для защиты своих устройств и данных от несанкционированного доступа.
