Feb 04, 2025ravie Lakshmananmalware / cryptocurrency Watendaji wa vitisho wa Korea Kaskazini nyuma ya kampeni ya mahojiano ya kuambukiza wamezingatiwa wakitoa mkusanyiko wa programu hasidi ya Apple MacOS inayoitwa Ferret kama sehemu ya mchakato wa mahojiano ya kazi. “Malengo kawaida huulizwa kuwasiliana na mhojiwa kupitia kiunga ambacho hutupa ujumbe wa makosa na ombi la kusanikisha au kusasisha kipande fulani cha programu kama VCAM au KameraAccess kwa mikutano ya kawaida,” watafiti wa Sentinelone Phil Stoke na Tom Hegel walisema katika A katika Ripoti mpya. Mahojiano ya kuambukiza, yaliyofunuliwa kwanza mwishoni mwa 2023, ni juhudi inayoendelea inayofanywa na wafanyakazi wa utapeli kutoa programu hasidi kwa malengo yanayotarajiwa kupitia vifurushi vya NPM na programu za asili zinazojitokeza kama programu ya videoconferencing. Pia inafuatiliwa kama DeceptiveDevelopment na Dev#Popper. Minyororo hii ya kushambulia imeundwa kuacha programu hasidi ya msingi wa JavaScript inayojulikana kama Beavertail, ambayo, mbali na kuvuna data nyeti kutoka kwa vivinjari vya wavuti na pochi za crypto, ina uwezo wa kupeana picha ya nyuma ya Python inayoitwa Invibleferret. Mnamo Desemba 2024, kampuni ya usalama ya cybersecurity ya Kijapani NTT Holdings ilifunua kuwa programu hasidi ya JavaScript pia imeundwa kuchukua na kutekeleza programu nyingine inayojulikana kama OtterCookie. Ugunduzi wa familia ya Ferret ya programu hasidi, iliyofunuliwa kwanza hadi mwisho wa 2024, inaonyesha kwamba watendaji wa vitisho wanaheshimu mbinu zao za kukwepa kugunduliwa. Hii ni pamoja na kupitishwa kwa njia ya mtindo wa ClickFix ili kuwadanganya watumiaji katika kunakili na kutekeleza amri mbaya kwenye mifumo yao ya Apple MacOS kupitia programu ya terminal ili kushughulikia shida na kupata kamera na kipaza sauti kupitia kivinjari cha wavuti. Kulingana na mtafiti wa usalama Taylor Monahan, ambaye huenda kwa jina la mtumiaji @tayvano_, mashambulio hayo yanatokea na washambuliaji wanaokaribia malengo kwenye LinkedIn kwa kuuliza kama waajiri na kuwasihi kukamilisha tathmini ya video. Lengo la mwisho ni kuacha nyuma ya msingi wa Golang na mwizi ambayo imeundwa kumaliza mkoba wa metamask wa mwathirika na amri za kukimbia kwenye mwenyeji. Baadhi ya vifaa vinavyohusiana na programu hasidi vimetajwa kama FriendlyFerret na Frostyferret_ui. Sentinelone alisema ilibaini seti nyingine ya mabaki yaliyoitwa FlexibleFerret ambayo inachukua huduma ya kuanzisha uvumilivu kwenye mfumo wa macOS ulioambukizwa kwa njia ya kuzindua. Imeundwa pia kupakua upakiaji usiojulikana kutoka kwa seva ya amri-na-kudhibiti (C2), ambayo sio msikivu tena. Kwa kuongezea, programu hasidi ya Ferret imeonekana kuenezwa kwa kufungua maswala bandia kwenye hazina halali za GitHub, kwa mara nyingine ikionyesha mseto wa njia zao za kushambulia. “Hii inaonyesha kuwa watendaji wa vitisho wanafurahi kupanua veta ambazo wanatoa programu hasidi zaidi ya kulenga maalum kwa wanaotafuta kazi kwa watengenezaji kwa ujumla,” watafiti walisema. Ufichuaji huo unakuja siku baada ya kampuni ya usalama wa mnyororo wa ugavi kutaja kifurushi kibaya cha NPM kinachoitwa PostCSS-Optimizer kilicho na programu hasidi ya Beavertail. Maktaba inabaki kwa kupakuliwa kutoka kwa Msajili wa NPM kama ya uandishi. “Kwa kuiga maktaba halali ya POSTCSS, ambayo ina upakuaji zaidi ya bilioni 16, muigizaji wa vitisho analenga kuambukiza mifumo ya watengenezaji na uwezo wa kuiba na uwezo wa data kwenye Windows, MacOS, na Mifumo ya Linux,” Watafiti wa Usalama Kirill Boychenko na Peter Van Van, Der Zee alisema. Maendeleo hayo pia yanafuata ugunduzi wa kampeni mpya iliyowekwa na muigizaji wa vitisho wa Korea Kaskazini (aka Scarcruft) ambayo ilihusisha kusambaza hati zilizopigwa na booby kupitia kampeni zingine za kupeana ili kupeleka programu hasidi ya Rokrat, na pia kueneza kwa malengo mengine Zaidi ya mazungumzo ya kikundi kupitia jukwaa la K Messenger kutoka kwa kompyuta ya mtumiaji aliyeathirika. Je! Nakala hii inavutia? Tufuate kwenye Twitter na LinkedIn kusoma yaliyomo kipekee tunayotuma.
Leave a Reply