Devam eden bir Kuzey Kore Kimlik Yardım Kampanyası’nın bir parçası olarak geliştiricileri ve iş arayanları hedefleyen “esnek birerret” olarak adlandırılan yeni bir macOS kötü amaçlı yazılım varyantı tanımlanmıştır.
Apple’ın XProtect kötü amaçlı yazılım algılama aracındaki son imza güncellemelerine rağmen, bu son varyant, MacOS siber güvenliği ile ilgili yeni endişeleri artırarak korumaları atlama yeteneğini gösteriyor.
FlexibleFerret, başlangıçta Aralık 2024’te ortaya çıkarılan “Ferret” olarak bilinen daha geniş bir kötü amaçlı yazılım ailesine aittir.
Bu kötü amaçlı yazılım ailesi, sanal toplantı araçları veya tarayıcı güncellemeleri gibi meşru uygulamalar olarak gizlenmiş kötü amaçlı yazılımlar kurmak için kurbanların sahte iş görüşmeleri yoluyla çekildiği “bulaşıcı görüşme” kampanyasına atfedildi.
FlexableFerret’in teknik dökümü
Sentinellabs tarafından yapılan son araştırmalar, esneklik varyantının tespitten kaçınmak için sofistike tekniklerden yararlandığını ortaya koydu.
“Versus.pkg” başlıklı kötü amaçlı bir yükleyici paketi aracılığıyla teslim edilen damlalık, sexderlert.app ve sahte bir zoom ikili gibi aldatıcı bileşenler içerir.
Paket, enfekte olmuş cihazlarda gizli konumlara ek komut dosyaları ve ikili dosyalar yükler, /var/tmp/ Ve /private/tmp/kalıcılık elde eder ve yükünü yürütür.
Kötü amaçlı yazılımın göze çarpan özelliklerinden biri, güvenilirlik için meşru görünümlü Apple geliştirici imzalarını kullanmasıdır.
Her ne kadar FlexibleFerret ile bağlantılı geliştirici imzası iptal edilmiş olsa da, tehdit aktörleri dağıtım sırasında macOS bekçi koruyucu korumalarını atlamak için onu sömürdü.
Kötü amaçlı yazılım, şüphe uyandırmayı önlemek için sistem davranışlarını taklit eder. Örneğin, yürütülebilir dosyalarından biri olan InstallArert, sahte bir macOS hata mesajı atar, “Bu dosya hasar görür ve açılamaz”, kullanıcılara uygulamanın yürütülmediği izlenimini verir.
Bununla birlikte, arka planda kötü amaçlı yazılım, meşru bir zoom hizmeti olarak gizlenmiş kötü amaçlı bir lansman dosyası ekmek gibi kalıcılık mekanizmaları oluşturur ve hedef /private/var/tmp/logd yük işlemleri için.
Daha geniş bir tehdit spektrumu
“Bulaşıcı röportaj” kampanyası ve FlexibleFerret de dahil olmak üzere gelincik kötü amaçlı yazılım ailesi, Kuzey Koreli İleri Dikkatli Tehdit (APT) gruplarının iyi koordine bir çabasını yansıtıyor.
Bu gruplar sadece iş arayanları değil, GitHub gibi depoları kullanan geliştiricileri de hedefliyor.
Sentinellabs, geliştiricileri gelfin kötü amaçlı yazılım bileşenleri de dahil olmak üzere enfekte dosyaları indirmeye teşvik etmek için sahte sorunlar ve yorumlar yayınladılar.
FlexibleFerret ayrıca, Dropbox API’lerinin pesfiltrasyon ve IP çözünürlük hizmetleri gibi diğer Kuzey Kore bağlantılı kampanyalarda görülen ortak taktikleri de kullanır. api.ipify.org Enfekte cihazları izlemek için.
Apple, XProtect’in blok listesine bazı gelincik bileşenleri eklerken, esneklik vergisi varyantı, aracın en son sürümü tarafından tespit edilmemiştir.
FlexableFerret’in ortaya çıkışı, macOS kullanıcıları, özellikle geliştiriciler arasında artan uyanıklık ihtiyacının altını çiziyor.
Saldırganlar kötü amaçlı yazılım dağıtım yöntemlerini genişlettikçe ve geleneksel korumalardan kaçınabilen varyantlar geliştirdikçe, uç nokta korumasını kullanma, güvenilmeyen indirmelerden kaçınma ve uzlaşma göstergelerinin izlenmesi de dahil olmak üzere en iyi güvenlik uygulamaları kritiktir.
Kuruluşlar ve bireyler, en son tehdit istihbaratıyla güncel kalmaya ve Ferret gibi ileri kötü amaçlı yazılım ailelerini tespit edebilen sağlam güvenlik çözümleri kullanmaya teşvik edilir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free