Bulaşıcı görüşme kampanyasının arkasındaki Kuzey Koreli tehdit aktörleri, sözde iş görüşmesi sürecinin bir parçası olarak Ferret olarak adlandırılan Apple macOS kötü amaçlı yazılım suşlarının bir koleksiyonu sundukları gözlendi.
Sentinelone araştırmacıları Phil Stokes ve Tom Hegel, “Hedeflerden genellikle bir görüşmeci ile bir hata mesajı ve sanal toplantılar için VCAM veya Cameracess gibi gerekli bazı yazılım parçalarını yükleme veya güncelleme isteği atan bir bağlantı aracılığıyla iletişim kurması istenir.” Dedi. Yeni rapor.
İlk olarak 2023’ün sonlarında ortaya çıkan bulaşıcı röportaj, hack ekibinin sahte NPM paketleri ve video konferans yazılımı olarak görünen yerel uygulamalar aracılığıyla prospektif hedeflere kötü amaçlı yazılım sunmak için üstlenilen kalıcı bir çabadır. Aynı zamanda aldatıcı geliştirme ve dev#popper olarak da izlenir.
Bu saldırı zincirleri, Web tarayıcılarından ve kripto cüzdanlarından hassas verileri hasat etmenin yanı sıra, InvisibleFerret adlı bir python arka kapı teslim edebilen Beaverail olarak bilinen JavaScript tabanlı bir kötü amaçlı yazılım bırakmak için tasarlanmıştır.
Aralık 2024’te Japon siber güvenlik şirketi NTT Security Holdings, JavaScript kötü amaçlı yazılımının ayrıca Ottercookie olarak bilinen başka bir kötü amaçlı yazılım getirecek şekilde yapılandırıldığını açıkladı.
İlk olarak 2024’ün sonuna doğru ortaya çıkarılan kötü amaçlı yazılım ailesinin keşfi, tehdit aktörlerinin tespitten kaçınmak için taktiklerini aktif olarak geliştirdiklerini göstermektedir.
Bu, web tarayıcısından kameraya ve mikrofona erişme sorunu ele almak için kullanıcıları Terminal uygulaması aracılığıyla Apple macOS sistemlerinde kopyalama ve yürütme için kandırmak için bir ClickFix tarzı yaklaşımın benimsenmesini içerir.
@Tayvano_ kullanıcı adına giren güvenlik araştırmacısı Taylor Monahan’a göre, saldırılar, işe alım görevlileri olarak poz vererek ve bir video değerlendirmesini tamamlamaya çağırarak LinkedIn’deki hedeflere yaklaşan saldırganlardan kaynaklanıyor. Nihai hedef, kurbanın metamask cüzdanını boşaltmak ve ana bilgisayardaki komutları çalıştırmak için tasarlanmış Golang tabanlı bir arka kapı ve stealer bırakmaktır.
Kötü amaçlı yazılımlarla ilişkili bazı bileşenlere FoideFerret ve FrostyFerret_UI olarak adlandırılmıştır. Sentinelone, enfekte macOS sisteminde bir lansman aracılığıyla kalıcılık oluşturmaya özen gösteren FlexableFerret adlı başka bir eser seti tanımladığını söyledi.
Ayrıca, artık duyarlı olmayan bir komut ve kontrol (C2) sunucusundan belirtilmemiş bir yükü indirmek için tasarlanmıştır.
Ayrıca, gelincik kötü amaçlı yazılımların, bir kez daha saldırı yöntemlerinin çeşitlendirilmesine işaret eden meşru GitHub depolarında sahte sorunlar açarak yayıldığı gözlenmiştir.
Araştırmacılar, “Bu, tehdit aktörlerinin, kötü amaçlı yazılımları iş arayanların özel hedeflemesinin ötesinde geliştiricilere daha genel olarak genişletmekten mutlu olduklarını gösteriyor.” Dedi.
Açıklama, tedarik zinciri güvenlik firması soketinin Beaverail kötü amaçlı yazılımları içeren PostCSS-Optimizer adlı kötü niyetli bir NPM paketini detaylandırmasından günler sonra gelir. Kütüphane, NPM kayıt defterinden yazma olarak indirilebilir.
Güvenlik Araştırmacıları Kirill Boychenko ve Peter Van, “Tehdit oyuncusu, 16 milyardan fazla indirme olan meşru Postcss Kütüphanesi’ni taklit ederek, geliştiricilerin sistemlerini Windows, MacOS ve Linux sistemlerinde kimlik bilgisi çalma ve veri açma yetenekleriyle enfekte etmeyi amaçlıyor. Der Zee dedi.
Geliştirme ayrıca, Rokrat kötü amaçlı yazılımları dağıtmak için mızrak kanalları aracılığıyla bubi tuzaklı belgeleri dağıtmayı ve diğer hedeflere yayılmasını içeren Kuzey Kore’ye hizalanmış APT37 (Scarcruft) tehdit aktörü tarafından monte edilen yeni bir kampanyanın keşfini izliyor. Aşırı Grup Sohbetleri, tehlikeye atılan kullanıcının bilgisayarından K Messenger platformu aracılığıyla.