Bulaşıcı görüşme kampanyasının arkasındaki Kuzey Koreli tehdit aktörleri, sözde iş görüşmesi sürecinin bir parçası olarak Ferret olarak adlandırılan Apple macOS kötü amaçlı yazılım suşlarının bir koleksiyonu sundukları gözlendi.
Sentinelone araştırmacıları Phil Stokes ve Tom Hegel, “Hedeflerden, bir hata mesajı ve sanal toplantılar için VCAM veya CameraCcess gibi bazı yazılım parçalarını yükleme veya güncelleme isteği atan bir bağlantı aracılığıyla bir görüşmeci ile iletişim kurması istenir.” söz konusu yeni bir raporda.
İlk olarak 2023’ün sonlarında ortaya çıkan bulaşıcı röportaj, hack ekibinin sahte NPM paketleri ve video konferans yazılımı olarak görünen yerel uygulamalar aracılığıyla prospektif hedeflere kötü amaçlı yazılım sunmak için üstlenilen kalıcı bir çabadır. Aynı zamanda aldatıcı geliştirme ve dev#popper olarak da izlenir.
Bu saldırı zincirleri, Web tarayıcılarından ve kripto cüzdanlarından hassas verileri hasat etmenin yanı sıra, InvisibleFerret adlı bir python arka kapı teslim edebilen JavaScript tabanlı bir kötü amaçlı yazılım bırakmak için tasarlanmıştır.
Aralık 2024’te Japon siber güvenlik şirketi NTT Security Holdings, JavaScript kötü amaçlı yazılımının ayrıca Ottercookie olarak bilinen başka bir kötü amaçlı yazılım getirecek şekilde yapılandırıldığını açıkladı.
İlk olarak 2024’ün sonuna doğru ortaya çıkarılan kötü amaçlı yazılım ailesinin keşfi, tehdit aktörlerinin tespitten kaçınmak için taktiklerini aktif olarak geliştirdiklerini göstermektedir.
Bu, web tarayıcısından kameraya ve mikrofona erişme sorunu ele almak için kullanıcıları Terminal uygulaması aracılığıyla Apple macOS sistemlerinde kopyalama ve yürütme için kandırmak için bir ClickFix tarzı yaklaşımın benimsenmesini içerir.
@Tayvano_ kullanıcı adına giren güvenlik araştırmacısı Taylor Monahan’a göre saldırılar doğmak Saldırganlar, işe alım görevlileri olarak poz vererek ve bir video değerlendirmesini tamamlamaya çağırarak LinkedIn hedeflerine yaklaşırken. Nihai hedef bir Golang merkezli arka kapı ve stealer Bu, kurbanın metamask cüzdanını boşaltmak ve ana bilgisayardaki komutları çalıştırmak için tasarlanmıştır.
Kötü amaçlı yazılımlarla ilişkili bazı bileşenlere FoideFerret ve FrostyFerret_UI olarak adlandırılmıştır. Sentinelone, enfekte macOS sisteminde bir lansman aracılığıyla kalıcılık oluşturmaya özen gösteren FlexableFerret adlı başka bir eser seti tanımladığını söyledi.
Ayrıca, artık duyarlı olmayan bir komut ve kontrol (C2) sunucusundan belirtilmemiş bir yükü indirmek için tasarlanmıştır.
Ayrıca, gelincik kötü amaçlı yazılımların, bir kez daha saldırı yöntemlerinin çeşitlendirilmesine işaret eden meşru GitHub depolarında sahte sorunlar açarak yayıldığı gözlenmiştir.
Araştırmacılar, “Bu, tehdit aktörlerinin, kötü amaçlı yazılımları iş arayanların özel hedeflemesinin ötesinde geliştiricilere daha genel olarak genişletmekten mutlu olduklarını gösteriyor.” Dedi.
Açıklama, tedarik zinciri güvenlik firması soketinin Beaverail kötü amaçlı yazılımları içeren PostCSS-Optimizer adlı kötü niyetli bir NPM paketini detaylandırmasından günler sonra gelir. Kütüphane Mevcut kalırlar NPM Kayıt Defteri’nden indirmek için.
Güvenlik Araştırmacıları Kirill Boychenko ve Peter Van, “Tehdit oyuncusu, 16 milyardan fazla indirme olan meşru Postcss Kütüphanesi’ni taklit ederek, geliştiricilerin sistemlerini Windows, MacOS ve Linux sistemlerinde kimlik bilgisi çalma ve veri açma yetenekleriyle enfekte etmeyi amaçlıyor. Der Zee söz konusu.
Geliştirme ayrıca keşif Rokrat kötü amaçlı yazılımları dağıtmak için mızrak-aktarma kampanyaları aracılığıyla bubi tuzaklı belgeleri dağıtmayı ve bunları K aracılığıyla grup sohbetleri üzerindeki diğer hedeflere yayılmasını içeren Kuzey Kore’ye hizalanmış APT37 (AKA Scarcruft) tehdit oyuncusu tarafından monte edilen yeni bir kampanyanın Uzaklaştırılmış kullanıcının bilgisayarından Messenger platformu.
