FERRET-Malware

Von Mezo in Mac-Malware

Übersetzen Sie in:

Nordkoreanische Cyber-Agenten, die hinter der Kampagne „Contagious Interview“ stehen, wurden dabei ertappt, wie sie unter dem Deckmantel eines Vorstellungsgesprächs macOS-Malware mit dem Sammelbegriff FERRET verbreiteten. Ahnungslose Opfer werden dazu verleitet, über einen Link mit einem angeblichen Personalvermittler zu kommunizieren, der eine Fehlermeldung generiert und sie dazu auffordert, Software wie VCam oder CameraAccess zu installieren oder zu aktualisieren, um mit dem Vorstellungsgespräch fortfahren zu können.

Inhaltsverzeichnis

Ansteckendes Interview: Ein anhaltender Cyber-Spionage-Anstrengung

Das Contagious Interview wurde erstmals Ende 2023 aufgedeckt und stellt eine anhaltende Kampagne dar, die darauf abzielt, Opfer durch irreführende npm-Pakete und native Anwendungen zu infizieren, die sich als Videokonferenzsoftware ausgeben. Die Kampagne, die auch unter Namen wie DeceptiveDevelopment und DEV#POPPER verfolgt wird, entwickelt sich weiter und verwendet immer ausgefeiltere Taktiken.

BeaverTail und InvisibleFerret fallen lassen

Die Angriffssequenz führt typischerweise zur Bereitstellung von BeaverTail, einer JavaScript-basierten Malware, die darauf ausgelegt ist, vertrauliche Daten aus Browsern und Kryptowährungs-Wallets zu extrahieren. Diese Malware fungiert auch als Bereitstellungsmechanismus für eine zusätzliche Nutzlast – eine Python-basierte Hintertür namens InvisibleFerret.

OtterCookie: Eine weitere Ebene schädlicher Aktivitäten

Im Dezember 2024 identifizierten Cybersicherheitsforscher aus Japan eine weitere Komponente in der Angriffskette: eine Malware-Variante namens OtterCookie . Diese JavaScript-Malware ist so konfiguriert, dass sie zusätzliche schädliche Payloads abruft und ausführt, wodurch die Fähigkeiten der Infektion weiter erweitert werden.

Verfeinerung von Ausweichtaktiken mit Täuschung im ClickFix-Stil

Als die Malware-Familie FERRET gegen Ende 2024 entdeckt wurde, stellten die Forscher fest, dass die Angreifer ihre Methoden verfeinerten, um einer Entdeckung besser zu entgehen. Eine bemerkenswerte Technik beinhaltet einen ClickFix-ähnlichen Ansatz, der Benutzer dazu verleitet, einen unsicheren Befehl in der macOS-Terminalanwendung zu kopieren und auszuführen, unter dem Vorwand, Probleme mit dem Zugriff auf Kamera und Mikrofon zu lösen.

Ansprache von Arbeitssuchenden über LinkedIn

Die Anfangsphase dieser Angriffe beginnt oft mit LinkedIn Outreach, wo sich Bedrohungsakteure als Personalvermittler ausgeben. Ihr Hauptziel besteht darin, potenzielle Opfer zu einer Videobewertung zu überreden, die letztendlich zur Installation einer Golang-basierten Hintertür führt. Diese Malware ist besonders heimtückisch und darauf ausgelegt, Kryptowährungsgelder aus MetaMask-Wallets abzusaugen und es Angreifern gleichzeitig zu ermöglichen, Befehle auf dem kompromittierten Gerät auszuführen.

Aufschlüsselung der FERRET-Malware-Komponenten

Forscher haben mehrere Komponenten identifiziert, die mit der Malware-Familie FERRET in Zusammenhang stehen und jeweils eine bestimmte Funktion in der Angriffssequenz erfüllen:

FROSTYFERRET_UI: Die Nutzlast der Anfangsphase, oft getarnt als ChromeUpdate- oder CameraAccess-Anwendungen.
FRIENDLYFERRET_SECD: Eine sekundäre Go-basierte Hintertür namens „com.apple.secd“, die zuvor mit der Hidden Risk-Kampagne in Verbindung gebracht wurde, die auf Kryptowährungsunternehmen abzielte.
MULTI_FROSTYFERRET_CMDCODES: Eine Go-Konfigurationsdatei, die die Backdoor-Funktionalität der Stufe zwei unterstützt.

FlexibleFerret: Persistenz unter macOS herstellen

Außerdem wurde ein separater Satz von Malware-Artefakten entdeckt, der als FlexibleFerret bezeichnet wird. Diese Variante konzentriert sich darauf, die Persistenz innerhalb eines infizierten macOS-Systems durch die Verwendung eines LaunchAgent aufrechtzuerhalten. Die Malware wird über ein Installationspaket namens InstallerAlert bereitgestellt, das die Funktionalität von „FROSTYFERRET_UI“ widerspiegelt.

Ausweitung der Angriffsmethoden über Arbeitssuchende hinaus

Während die FlexibleFerret-Beispiele als Apple Installer-Pakete verteilt wurden, bleibt die genaue Methode, mit der die Opfer davon überzeugt wurden, sie auszuführen, unklar. Es gibt jedoch Hinweise darauf, dass die Malware auch durch die Erstellung gefälschter Probleme in legitimen GitHub-Repositories verbreitet wird. Dieser Taktikwechsel deutet auf eine breitere Zielstrategie hin, die über Arbeitssuchende hinausgeht und auf Entwickler und andere Fachleute in der Technologiebranche abzielt.

Während nordkoreanische Cyber-Akteure ihre betrügerischen Methoden immer weiter verfeinern, mahnen Sicherheitsexperten zu erhöhter Wachsamkeit bei Online-Stellenangeboten und Aufforderungen zur Softwareinstallation.

Der Insolvenzantrag des Zahlungsabwicklers Digital River GmbH von EnigmaSoft hat keine Auswirkungen auf den Anti-Malware-Schutz der SpyHunter-Kunden

Suche

Region ändern

FERRET-Malware

Ansteckendes Interview: Ein anhaltender Cyber-Spionage-Anstrengung

BeaverTail und InvisibleFerret fallen lassen

OtterCookie: Eine weitere Ebene schädlicher Aktivitäten

Verfeinerung von Ausweichtaktiken mit Täuschung im ClickFix-Stil

Ansprache von Arbeitssuchenden über LinkedIn

Aufschlüsselung der FERRET-Malware-Komponenten

FlexibleFerret: Persistenz unter macOS herstellen

Ausweitung der Angriffsmethoden über Arbeitssuchende hinaus

Kommentar abgeben

Im Trend

AlrustiqApp

SlowStepper Backdoor-Malware

American Express – E-Mail-Betrug mit nicht erkannten...

Am häufigsten gesehen

Discord steckt auf grauem Bildschirm fest

Discord zeigt beim Teilen des Bildschirms schwarzen...

So beheben Sie den Fehler 'Druckertreiber ist nicht...