Haber
Ayakta kötü amaçlı yazılım aracı için yeni bir yamada, Apple, MacOS Ferret ailesi olarak bilinen bir kötü amaçlı yazılımın varyantlarını engellemek için XProtect’e imza güncellemelerini zorluyor.
Bu kötü amaçlı yazılım, hedeflere çekilen tehdit aktörlerini içeren ve onları sahte bir iş görüşmesi süreciyle cihazlarına kötü amaçlı yazılım yüklemeye ikna eden bir Kuzey Kore kampanyası olan “Bulaşıcı Röportaj” ın bir parçası olarak tanımlanmıştır. Kampanyadaki diğer varyantlar şunları içerir: FrostyFerret_ui, FriendlyFerret_secd ve multi_frostyferret_cmdcodes.
. DPRK kötü amaçlı yazılım ailesi ilk olarak Aralık 2024’te araştırmacılar tarafından detaylandırıldı ve yine Ocak ayında, kampanyanın bir parçası olarak, hedeflerden bir “görüşmeci” ile sanal toplantılar için gerekli bir yazılım yüklemesini isteyen bir bağlantı aracılığıyla iletişim kurması istenmiştir.
Yüklendikten sonra, kötü niyetli bir kabuk komut dosyası çalıştırır ve bir kalıcılık aracısının yanı sıra bir Google Chrome güncellemesini taklit eden yürütülebilir bir aracı yükler.
Bulaşıcı röportaj saldırı zincirleri, FultibleFerret olarak bilinen bir python arka kapı sunan ve web tarayıcılarından ve kripto cüzdanlarından hassas verileri hasat eden JavaScript tabanlı kötü amaçlı kötü amaçlı yazılım “Beaverail” i düşürecek şekilde tasarlanmıştır.
Ve şimdi SentinelOne’daki araştırmacılar, 3 Şubat itibariyle XProtect tarafından tespit edilmeyen “esnek birikim” olarak adlandırdıkları örnekleri vurguluyorlar ve bu da tehdit aktörlerinin tespitten kaçmak için taktiklerini geliştirdiklerini gösteriyorlar. Bu bileşen Kasım 2023’e kadar uzanıyor.
“Aralık ayı sonlarında bir örnekte, bir ‘yorumcu’, Ferret Family Droppers’ın indirilmesine yol açan talimatları bıraktı,” Sentinelone araştırmacılarını belirtti. Diyerek şöyle devam etti: “Bu, tehdit aktörlerinin kötü amaçlı yazılımları iş arayanların özel hedeflemesinin ötesinde geliştiricilere daha genel olarak genişletmekten mutlu olduklarını gösteriyor.”
