Os atores de ameaças norte-coreanos por trás da campanha Contagious Interview foram observados entregando uma coleção de cepas de malware para Apple macOS apelidadas de FERRET como parte de um suposto processo de entrevista de emprego.
"Os alvos são tipicamente convidados a se comunicar com um entrevistador por meio de um link que apresenta uma mensagem de erro e um pedido para instalar ou atualizar algum software necessário, como VCam ou CameraAccess para reuniões virtuais", disseram os pesquisadores da SentinelOne, Phil Stokes e Tom Hegel, em um novo relatório.
Contagious Interview, descoberta pela primeira vez no final de 2023, é um esforço persistente empreendido pela equipe de hackers para entregar malware a alvos potenciais através de pacotes npm falsos e aplicativos nativos disfarçados de software de videoconferência.
Também é conhecida como DeceptiveDevelopment e DEV#POPPER.
Essas cadeias de ataque são projetadas para soltar um malware baseado em JavaScript conhecido como BeaverTail, que, além de extrair dados sensíveis dos navegadores da web e carteiras de criptomoedas, é capaz de entregar um backdoor Python chamado InvisibleFerret.
Em dezembro de 2024, a empresa japonesa de cibersegurança NTT Security Holdings revelou que o malware JavaScript também está configurado para buscar e executar outro malware conhecido como OtterCookie.
A descoberta da família de malware FERRET, primeiro revelada no final de 2024, sugere que os atores de ameaças estão ativamente aprimorando suas táticas para evitar a detecção.
Isso inclui a adoção de uma abordagem estilo ClickFix para enganar os usuários a copiar e executar um comando malicioso em seus sistemas Apple macOS via app Terminal para resolver um problema com o acesso à câmera e ao microfone pelo navegador.
Segundo o pesquisador de segurança Taylor Monahan, que usa o nome de usuário @tayvano_, os ataques começam com os atacantes abordando os alvos no LinkedIn, posando como recrutadores e instando-os a completar uma avaliação em vídeo.
O objetivo final é soltar um backdoor e stealer baseados em Golang, projetados para drenar a MetaMask Wallet da vítima e executar comandos no host.
Alguns dos componentes associados ao malware foram codinomeados FRIENDLYFERRET_SECD, FROSTYFERRET_UI e MULTI_FROSTYFERRET_CMDCODES.
De acordo com Stokes, FROSTYFERRET_UI refere-se ao binário de primeira fase entregue em aplicativos maliciosos como ChromeUpdate e CameraAccess.
FRIENDLYFERRET_SECD é o nome atribuído ao backdoor Go de segunda fase "com.apple.secd" e ao binário Mach-O x86-64 "growth" previamente observado na campanha Hidden Risk, que visa empresas relacionadas à criptomoeda.
MULTI_FROSTYFERRET_CMDCODES, por outro lado, é uma referência ao arquivo de configuração Go para o backdoor da segunda fase.
A SentinelOne disse que também identificou outro conjunto de artefatos chamado FlexibleFerret, que cuida de estabelecer persistência no sistema macOS infectado por meio de um LaunchAgent.
O malware é propagado por meio de um pacote chamado InstallerAlert, funcionalmente semelhante ao FROSTYFERRET_UI.
Stokes disse que, embora os exemplos do FlexibleFerret tenham sido entregues na forma de um pacote instalador da Apple, atualmente não se sabe qual técnica de isca foi empregada para atrair os alvos a executar o malware.
Dito isso, há evidências que sugerem que o malware está sendo propagado ao abrir issues falsas em repositórios legítimos do GitHub, apontando novamente para uma diversificação de seus métodos de ataque.
"Isso sugere que os atores de ameaças estão felizes em expandir os vetores pelos quais entregam o malware, além do direcionamento específico de candidatos a emprego para desenvolvedores de forma mais geral", disseram os pesquisadores.
A divulgação acontece dias depois de a firma de segurança da cadeia de suprimentos Socket detalhar um pacote npm malicioso chamado postcss-optimizer contendo o malware BeaverTail.
A biblioteca permanece disponível para download do registro npm até o momento da escrita.
"Ao se passar pela biblioteca postcss legítima, que tem mais de 16 bilhões de downloads, o ator de ameaças visa infectar os sistemas dos desenvolvedores com capacidades de roubo de credenciais e exfiltração de dados em sistemas Windows, macOS e Linux", disseram os pesquisadores de segurança Kirill Boychenko e Peter van der Zee.
O desenvolvimento também segue a descoberta de uma nova campanha montada pelo ator de ameaças associado à Coreia do Norte, APT37 (também conhecido como ScarCruft), que envolveu a distribuição de documentos armadilhados via campanhas de spear-phishing para implantar o malware RokRAT, bem como propagá-los a outros alvos por chats em grupo através da plataforma K Messenger, a partir do computador do usuário comprometido.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...