Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware para Mac Programa malicioso FERRET

Programa malicioso FERRET

Por Mezo en Malware para Mac
Traducir a:
Español

Se ha descubierto que los ciberoperadores norcoreanos responsables de la campaña Entrevista Contagiosa están implementando cepas de malware para macOS denominadas colectivamente FERRET bajo la apariencia de un proceso de entrevista de trabajo. Los objetivos desprevenidos se comunican con un supuesto reclutador a través de un enlace que genera un mensaje de error, que les solicita que instalen o actualicen software como VCam o CameraAccess para continuar con la entrevista.

Entrevista contagiosa: un esfuerzo persistente de espionaje cibernético

Descubierta inicialmente a finales de 2023, la Entrevista Contagiosa representa una campaña sostenida destinada a infectar a las víctimas a través de paquetes npm engañosos y aplicaciones nativas que se hacen pasar por software de videoconferencia. La campaña, también rastreada bajo nombres como DeceptiveDevelopment y DEV#POPPER, continúa evolucionando y empleando tácticas cada vez más sofisticadas.

Dejando de lado a BeaverTail y InvisibleFerret

La secuencia de ataque suele dar como resultado la implementación de BeaverTail, un malware basado en JavaScript diseñado para extraer datos confidenciales de navegadores y billeteras de criptomonedas. Este malware también actúa como mecanismo de entrega de una carga útil adicional: una puerta trasera basada en Python conocida como InvisibleFerret.

OtterCookie: otra capa de actividad dañina

En diciembre de 2024, investigadores de ciberseguridad de Japón identificaron otro componente en la cadena de ataque: una variante de malware llamada OtterCookie . Este malware de JavaScript está configurado para buscar y ejecutar cargas útiles dañinas adicionales, lo que amplía aún más las capacidades de la infección.

Refinando las tácticas de evasión con engaños al estilo ClickFix

Cuando se descubrió la familia de malware FERRET a finales de 2024, los investigadores notaron que los atacantes estaban perfeccionando sus métodos para evadir mejor la detección. Una técnica notable implica un enfoque al estilo ClickFix, que engaña a los usuarios para que copien y ejecuten un comando inseguro en la aplicación Terminal de macOS con el pretexto de resolver problemas de acceso a la cámara y al micrófono.

Dirigirse a los solicitantes de empleo a través de LinkedIn

La fase inicial de estos ataques suele comenzar con una campaña en LinkedIn, donde los actores de amenazas se hacen pasar por reclutadores. Su objetivo principal es persuadir a las posibles víctimas para que se sometan a una evaluación por vídeo, lo que finalmente conduce a la instalación de una puerta trasera basada en Golang. Este malware es particularmente insidioso, diseñado para drenar los fondos de criptomonedas de las billeteras MetaMask y, al mismo tiempo, permite a los atacantes ejecutar comandos en el dispositivo comprometido.

Desglosando los componentes del malware FERRET

Los investigadores han identificado varios componentes asociados con la familia de malware FERRET, cada uno de los cuales cumple una función distinta en la secuencia de ataque:

  • FROSTYFERRET_UI: La carga útil de la etapa inicial, a menudo disfrazada como aplicaciones ChromeUpdate o CameraAccess.
  • FRIENDLYFERRET_SECD: Una puerta trasera secundaria basada en Go conocida como 'com.apple.secd', previamente vinculada a la campaña Hidden Risk dirigida a empresas de criptomonedas.
  • MULTI_FROSTYFERRET_CMDCODES: Un archivo de configuración de Go que admite la funcionalidad de puerta trasera de la etapa dos.

FlexibleFerret: Cómo establecer la persistencia en macOS

También se ha descubierto un conjunto independiente de artefactos de malware, denominado FlexibleFerret. Esta variante se centra en mantener la persistencia dentro de un sistema macOS infectado mediante el uso de un LaunchAgent. El malware se distribuye a través de un paquete de instalación llamado InstallerAlert, que refleja la funcionalidad de 'FROSTYFERRET_UI'.

La expansión de los vectores de ataque más allá de los solicitantes de empleo

Si bien las muestras de FlexibleFerret se distribuyeron como paquetes de instalación de Apple, no está claro el método preciso utilizado para convencer a las víctimas de que las ejecutaran. Sin embargo, la evidencia sugiere que el malware también se propaga mediante la creación de problemas falsos en repositorios legítimos de GitHub. Este cambio de táctica indica una estrategia de ataque más amplia que se extiende más allá de los solicitantes de empleo y apunta a los desarrolladores y otros profesionales de la industria tecnológica.

Mientras los actores cibernéticos norcoreanos continúan perfeccionando sus métodos engañosos, los expertos en seguridad instan a aumentar la vigilancia al interactuar con ofertas de trabajo en línea y solicitudes de instalación de software.

Tendencias

American Express - Estafa por correo electrónico de...

Suplantación de identidad (phishing), Correo basura
En un mundo cada vez más digital, la vigilancia es fundamental para proteger la información personal y financiera. Las tácticas de phishing son una amenaza en línea muy extendida diseñada para explotar la confianza de los usuarios y robar datos confidenciales. Entre ellas, la estafa por correo electrónico de American Express - Transacción no reconocida ha surgido como un ejemplo notable. Al...

Mas Visto

Cargando...