Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants pour Mac Logiciel malveillant FERRET

Logiciel malveillant FERRET

Par Mezo en Logiciels malveillants pour Mac
Se traduisent par :
Français

Les cyber-agents nord-coréens à l'origine de la campagne Contagious Interview ont été surpris en train d'utiliser des malwares macOS appelés collectivement FERRET sous couvert d'un processus d'entretien d'embauche. Les cibles sans méfiance sont amenées à communiquer avec un recruteur supposé via un lien qui génère un message d'erreur, les invitant à installer ou à mettre à jour des logiciels comme VCam ou CameraAccess pour procéder à l'entretien.

Entretien contagieux : un effort persistant de cyberespionnage

Initialement découverte fin 2023, la campagne Contagious Interview est une campagne prolongée visant à infecter les victimes via des packages npm trompeurs et des applications natives se faisant passer pour des logiciels de visioconférence. La campagne, également suivie sous des noms tels que DeceptiveDevelopment et DEV#POPPER, continue d'évoluer, employant des tactiques de plus en plus sophistiquées.

Lâcher prise de BeaverTail et InvisibleFerret

La séquence d'attaque aboutit généralement au déploiement de BeaverTail, un malware basé sur JavaScript conçu pour extraire des données sensibles des navigateurs et des portefeuilles de cryptomonnaies. Ce malware agit également comme mécanisme de distribution d'une charge utile supplémentaire : une porte dérobée basée sur Python connue sous le nom d'InvisibleFerret.

OtterCookie : une autre couche d’activité nocive

En décembre 2024, des chercheurs en cybersécurité japonais ont identifié un autre composant de la chaîne d'attaque : une variante de malware nommée OtterCookie . Ce malware JavaScript est configuré pour récupérer et exécuter des charges utiles nuisibles supplémentaires, élargissant ainsi encore les capacités de l'infection.

Affiner les tactiques d’évasion avec la tromperie de type ClickFix

Lorsque la famille de malwares FERRET a été découverte vers la fin de l’année 2024, les chercheurs ont remarqué que les attaquants affinaient leurs méthodes pour mieux échapper à la détection. L’une des techniques notables consiste à utiliser une approche de type ClickFix, incitant les utilisateurs à copier et à exécuter une commande non sécurisée dans l’application Terminal de macOS sous prétexte de résoudre les problèmes d’accès à la caméra et au microphone.

Cibler les demandeurs d’emploi via LinkedIn

La phase initiale de ces attaques commence souvent par une campagne de sensibilisation sur LinkedIn, où les acteurs malveillants se font passer pour des recruteurs. Leur objectif principal est de persuader les victimes potentielles de se soumettre à une évaluation vidéo, ce qui conduit finalement à l'installation d'une porte dérobée basée sur Golang. Ce malware est particulièrement insidieux, conçu pour drainer les fonds en cryptomonnaie des portefeuilles MetaMask tout en permettant aux attaquants d'exécuter des commandes sur l'appareil compromis.

Décomposer les composants du malware FERRET

Les chercheurs ont identifié plusieurs composants associés à la famille de logiciels malveillants FERRET, chacun remplissant une fonction distincte dans la séquence d'attaque :

  • FROSTYFERRET_UI : la charge utile de la phase initiale, souvent déguisée en applications ChromeUpdate ou CameraAccess.
  • FRIENDLYFERRET_SECD : une porte dérobée secondaire basée sur Go connue sous le nom de « com.apple.secd », précédemment liée à la campagne Hidden Risk ciblant les entreprises de cryptomonnaie.
  • MULTI_FROSTYFERRET_CMDCODES : un fichier de configuration Go prenant en charge la fonctionnalité de porte dérobée de deuxième étape.

FlexibleFerret : établir la persistance sur macOS

Un ensemble distinct d'artefacts de malware, appelé FlexibleFerret, a également été découvert. Cette variante se concentre sur le maintien de la persistance dans un système macOS infecté grâce à l'utilisation d'un LaunchAgent. Le malware est diffusé via un package d'installation nommé InstallerAlert, reflétant la fonctionnalité de « FROSTYFERRET_UI ».

Élargissement des vecteurs d’attaque au-delà des demandeurs d’emploi

Bien que les échantillons de FlexibleFerret aient été distribués sous forme de packages d’installation Apple, la méthode précise utilisée pour convaincre les victimes de les exécuter reste floue. Cependant, des preuves suggèrent que le malware se propage également en créant de faux problèmes sur des dépôts GitHub légitimes. Ce changement de tactique signale une stratégie de ciblage plus large qui s’étend au-delà des demandeurs d’emploi, visant les développeurs et autres professionnels du secteur technologique.

Alors que les cyberacteurs nord-coréens continuent d'affiner leurs méthodes trompeuses, les experts en sécurité appellent à une vigilance accrue lors de l'interaction avec les offres d'emploi en ligne et les invites d'installation de logiciels.

Tendance

American Express – Escroquerie par e-mail liée à une...

Hameçonnage, Courrier indésirable
Dans un monde de plus en plus numérique, la vigilance est essentielle pour protéger les informations personnelles et financières. Les tactiques de phishing sont une menace en ligne courante conçue pour exploiter la confiance des utilisateurs et voler des données sensibles. Parmi celles-ci, l'arnaque par courrier électronique American Express - Unrecognized Transaction est apparue comme un...

Le plus regardé

Chargement...