FERRET 恶意软件：一种伪装成求职面试的复杂威胁

欺骗性的招聘计划

网络犯罪分子不断改进策略，利用毫无戒心的个人，最近的一个例子就是 FERRET 恶意软件的出现。这一系列针对 macOS 的复杂威胁与负责“传染性面试”活动的朝鲜参与者有关。FERRET 恶意软件伪装成合法工作面试流程的一部分，通过欺骗技术部署，说服目标以虚拟会议工具的名义安装有害软件。

攻击方法围绕欺诈性招聘展开，受害者被邀请参加在线面试。然而，他们收到的不是标准的视频通话，而是生成错误消息的误导性链接，提示他们下载 VCam 或 CameraAccess 等应用程序。这些看似无害的程序充当了 FERRET 恶意软件的传递机制，将恶意代码嵌入受害者的系统中。

FERRET 恶意软件的目标

FERRET 恶意软件并非单一程序，而是一套旨在渗透 macOS 设备并提取有价值信息的组件。一旦执行，它就会部署一种名为 BeaverTail 的基于 JavaScript 的病毒，该病毒会主动从网络浏览器和加密货币钱包中收集敏感数据。此初始阶段还允许执行名为 InvisibleFerret 的基于 Python 的后门，从而进一步扩大恶意软件对受感染设备的控制。

有证据表明，FERRET 恶意软件已经进化，并加入了 OtterCookie 等额外负载，这有助于进一步收集数据和入侵系统。攻击者利用先进的社交工程技术，冒充招聘人员通过 LinkedIn 联系受害者。他们鼓励目标完成视频评估，最终导致安装基于 Golang 的后门，该后门能够窃取加密货币资金并执行远程命令。

FERRET 恶意软件的影响

FERRET 恶意软件的出现凸显了网络犯罪策略的不断转变，特别是通过社交工程针对 macOS 用户。此类攻击对个人和企业都有重大影响。不知情安装恶意软件的受害者可能会丢失登录凭据、金融资产和其他私人数据，而雇用这些个人的组织可能会面临更广泛的安全漏洞。

已发现该恶意软件的多个版本，名称包括 FRIENDLYFERRET_SECD、FROSTYFERRET_UI 和 MULTI_FROSTYFERRET_CMDCODES。这些组件经过精心设计，可以融入 macOS 系统，使检测和删除更加困难。第一阶段的有效负载通常通过虚假浏览器或系统更新传递，为进一步感染奠定基础，包括部署允许持续访问的辅助后门。

扩大攻击媒介

FERRET 恶意软件最初是通过虚假求职面试传播的，但新证据表明攻击者正在扩大其范围。研究人员发现，该恶意软件还通过 GitHub 传播，攻击者在合法存储库上创建虚假问题，诱骗开发人员执行有害命令。这种多样化表明，该活动不仅针对求职者，还扩展到软件工程师和 IT 专业人士。

相关恶意 npm 软件包（如 postcss-optimizer）的发现进一步加剧了问题。通过模仿被广泛采用的合法软件组件，攻击者增加了跨多个操作系统（包括 Windows、macOS 和 Linux）入侵开发人员环境的机会。

逃避策略和检测挑战

FERRET 恶意软件采用了一系列技术来避免被发现。一种值得注意的方法是 ClickFix 风格的方法，它操纵用户在 macOS 终端中运行命令，据称是为了修复麦克风或摄像头的问题。这种技术通过让目标自愿执行恶意代码，有效地规避了传统的安全措施。

此外，FlexibleFerret 变体中还使用了 LaunchAgent 机制，确保恶意软件在系统重启后仍保持活跃状态。这种持久性策略允许攻击者长期访问受感染的机器，从而增加了数据泄露和进一步利用的可能性。

应对威胁形势

FERRET 恶意软件的发现凸显了网络安全方面需要加强警惕，尤其是从事求职或软件开发的专业人士。尽管 macOS 长期以来一直被认为是比 Windows 更安全的平台，但像 FERRET 这样的复杂威胁日益盛行表明，没有哪个系统能够完全免受网络攻击。

组织和个人在与陌生的招聘人员打交道或从非官方来源下载软件时应谨慎行事。验证工作机会的合法性、交叉检查招聘人员的身份以及避免执行来自未知来源的命令可以帮助减轻与此类网络威胁相关的风险。

FERRET 恶意软件的不断演进表明，网络犯罪分子正在不断调整其技术以最大限度地获得成功。随着安全研究人员发现新的变种，用户保持知情并采取主动安全措施以保护其设备和数据免受未经授权的访问仍然至关重要。