FERRET 惡意軟體：一種偽裝成求職面試的複雜威脅

欺騙性的招募計劃

網路犯罪分子不斷改進他們的策略來利用毫無戒心的個人，最近的一個例子就是 FERRET 惡意軟體的出現。這一系列針對 macOS 的複雜威脅與負責「傳染性採訪」活動的北韓攻擊者有關。 FERRET 惡意軟體偽裝成合法工作面試過程的一部分，透過欺騙技術進行部署，以虛擬會議工具為幌子誘騙目標安裝有害軟體。

攻擊方法圍繞著欺詐性招募展開，受害者被邀請參加線上面試。然而，他們收到的不是標準的視訊通話，而是一條產生錯誤訊息的誤導性鏈接，提示他們下載 VCam 或 CameraAccess 等應用程式。這些看似無害的程式充當了 FERRET 惡意軟體的傳送機制，將惡意程式碼嵌入受害者的系統中。

FERRET 惡意軟體的目標

FERRET 惡意軟體不是一個單一的程序，而是一套旨在滲透 macOS 設備並提取有價值資訊的元件。一旦執行，它就會部署一個名為 BeaverTail 的基於 JavaScript 的病毒，它會主動從網頁瀏覽器和加密貨幣錢包收集敏感資料。此初始階段還可以執行名為 InvisibleFerret 的基於 Python 的後門，進一步擴大惡意軟體對受感染機器的控制。

有證據表明，FERRET 惡意軟體已經進化，包含 OtterCookie 等額外負載，這有助於進一步收集資料和入侵系統。攻擊者利用先進的社會工程技術，冒充招募人員透過 LinkedIn 聯繫受害者。他們鼓勵目標完成視訊評估，最終安裝基於 Golang 的後門，該後門能夠竊取加密貨幣資金並執行遠端命令。

FERRET 惡意軟體的影響

FERRET 惡意軟體的出現凸顯了網路犯罪策略的不斷轉變，特別是透過社會工程學針對 macOS 使用者。此類攻擊對於個人和企業都具有重大影響。在不知情的情況下安裝惡意軟體的受害者可能會丟失登入憑證、金融資產和其他私人數據，而僱用這些人員的組織可能會面臨更廣泛的安全漏洞。

已發現該惡意軟體的多個版本，名稱包括 FRIENDLYFERRET_SECD、FROSTYFERRET_UI 和 MULTI_FROSTYFERRET_CMDCODES。這些組件經過精心設計，可融入 macOS 系統，使檢測和刪除更具挑戰性。第一階段的有效載荷通常透過虛假瀏覽器或系統更新傳遞，為進一步的感染奠定了基礎，包括部署允許持續訪問的二級後門。

擴大攻擊媒介

最初，FERRET 惡意軟體是透過欺詐性求職面試進行傳播的，但新證據表明攻擊者正在擴大其範圍。研究人員發現，該惡意軟體也透過 GitHub 傳播，攻擊者在合法儲存庫上創建虛假問題，誘騙開發人員執行有害命令。這種多樣化表明該活動不僅針對求職者，還擴展到軟體工程師和 IT 專業人士。

相關惡意 npm 套件（例如 postcss-optimizer）的發現進一步加劇了問題。透過模仿廣泛採用的合法軟體元件，攻擊者增加了破壞多個作業系統（包括 Windows、macOS 和 Linux）的開發人員環境的機會。

逃避策略和檢測挑戰

FERRET 惡意軟體採用一系列技術來避免被發現。一種值得注意的方法是 ClickFix 風格的方法，它操縱用戶在他們的 macOS 終端中運行命令，據稱是為了修復他們的麥克風或攝影機的問題。該技術透過讓目標自願執行惡意程式碼，有效地規避了傳統的安全措施。

此外，使用 LaunchAgent 機制（在 FlexibleFerret 變體中識別）可確保惡意軟體即使在系統重新啟動後仍保持活躍。這種持久性策略允許攻擊者長期存取受感染的機器，從而增加了資料外洩和進一步利用的可能性。

應對威脅情勢

FERRET 惡意軟體的發現強調了加強網路安全警覺的必要性，特別是對於從事求職或軟體開發的專業人士而言。儘管 macOS 長期以來被認為是比 Windows 更安全的平台，但 FERRET 等複雜威脅的日益盛行表明，沒有任何系統能夠完全免受網路攻擊。

組織和個人在與陌生的招募人員接觸或從非官方來源下載軟體時應謹慎行事。驗證工作機會的合法性、交叉檢查招募人員身份以及避免執行來自未知來源的命令，可以幫助減輕與此類網路威脅相關的風險。

FERRET 惡意軟體的不斷發展表明，網路犯罪分子正在不斷調整其技術以最大限度地獲得成功。隨著安全研究人員發現新的變種，使用者保持知情並採取主動的安全措施來保護他們的設備和資料免遭未經授權的存取仍然至關重要。