複数ライセンス割引見積
脅威データベース Mac マルウェア FERRET マルウェア

FERRET マルウェア

Mac マルウェアMezoまで
翻訳内容:
日本語

Contagious Interview キャンペーンの背後にいる北朝鮮のサイバー工作員が、就職面接のプロセスを装って、総称して FERRET と呼ばれる macOS マルウェアを展開していることが判明しました。疑いを持たないターゲットは、エラー メッセージを生成するリンクを介して、採用担当者と通信するように誘導され、面接を進めるために VCam や CameraAccess などのソフトウェアをインストールまたは更新するように促されます。

伝染性インタビュー: 執拗なサイバースパイ活動

2023 年後半に初めて発見された Contagious Interview は、ビデオ会議ソフトウェアを装った偽の npm パッケージやネイティブ アプリケーションを通じて被害者を感染させることを目的とした継続的なキャンペーンです。DeceptiveDevelopment や DEV#POPPER などの名前でも追跡されているこのキャンペーンは、ますます洗練された戦術を採用しながら進化を続けています。

BeaverTailとInvisibleFerretの削除

攻撃シーケンスでは通常、ブラウザや暗号通貨ウォレットから機密データを抽出するように設計された JavaScript ベースのマルウェアである BeaverTail が展開されます。このマルウェアは、追加のペイロードである InvisibleFerret と呼ばれる Python ベースのバックドアの配信メカニズムとしても機能します。

OtterCookie: 有害活動の新たな層

2024年12月、日本のサイバーセキュリティ研究者は、攻撃チェーンの別のコンポーネントであるOtterCookieというマルウェアの亜種を特定しました。このJavaScriptマルウェアは、追加の有害なペイロードを取得して実行するように設定されており、感染機能をさらに拡大します。

ClickFix スタイルの欺瞞による回避戦術の改良

2024年末にFERRETマルウェア ファミリーが発見されたとき、研究者は、攻撃者が検出を回避するために手法を改良していることに気付きました。注目すべき手法の1つは、カメラとマイクのアクセス問題を解決すると見せかけて、ユーザーをだましてmacOSターミナル アプリケーションで安全でないコマンドをコピーして実行させるClickFixスタイルのアプローチです。

LinkedIn を通じて求職者をターゲットにする

こうした攻撃の初期段階は、多くの場合、攻撃者がリクルーターを装って LinkedIn に働きかけることから始まります。主な目的は、潜在的な被害者にビデオ評価を受けさせ、最終的に Golang ベースのバックドアをインストールすることです。このマルウェアは特に陰険で、MetaMask ウォレットから暗号通貨資金を流出させるように設計されており、同時に攻撃者が侵害されたデバイスでコマンドを実行できるようにします。

FERRET マルウェアのコンポーネントを分析

研究者は、FERRET マルウェア ファミリに関連するいくつかのコンポーネントを特定しました。各コンポーネントは、攻撃シーケンスで異なる機能を果たします。

  • FROSTYFERRET_UI:初期段階のペイロード。多くの場合、ChromeUpdate または CameraAccess アプリケーションを装います。
  • FRIENDLYFERRET_SECD: 「com.apple.secd」として知られる二次的な Go ベースのバックドア。以前は暗号通貨ビジネスを標的とした Hidden Risk キャンペーンに関連付けられていました。
  • MULTI_FROSTYFERRET_CMDCODES:ステージ 2 のバックドア機能をサポートする Go 構成ファイル。

FlexibleFerret: macOS での永続性の確立

FlexibleFerret と呼ばれる別のマルウェア アーティファクト セットも発見されました。この亜種は、LaunchAgent を使用して、感染した macOS システム内での永続性を維持することに重点を置いています。このマルウェアは、'FROSTYFERRET_UI' の機能を反映した InstallerAlert というインストーラー パッケージを介して配信されます。

求職者以外にも攻撃ベクトルが拡大

FlexibleFerret のサンプルは Apple インストーラー パッケージとして配布されましたが、被害者に実行させるために使用された正確な方法は不明です。ただし、証拠によると、このマルウェアは正当な GitHub リポジトリに偽の問題を作成することによっても拡散されています。この戦術の変化は、求職者だけでなく、開発者やテクノロジー業界の他の専門家を狙った、より広範なターゲット戦略を示しています。

北朝鮮のサイバー犯罪者が詐欺の手法を改良し続ける中、セキュリティ専門家は、オンラインの求人やソフトウェアのインストールの指示に応じる際には、一層の警戒を促している。

トレンド

Alrustiqアプリ

マルウェア
AlrustiqApp.exe は、異常に高い CPU 消費量のため、タスク マネージャーで注目されるプロセスです。このアクティビティにより、コンピューターの動作が遅くなり、応答しなくなることが多く、基本的なタスクさえ実行できなくなります。この記事では、AlrustiqApp.exe とは何か、どのようにシステムに侵入するのか、ユーザーが対処する際に直面する課題について説明します。 Alru...

SlowStepper バックドア マルウェア

バックドア, 高度な持続的脅威 (APT)
2023年、これまで記録されていなかった中国と連携したAPT(Advanced Persistent Threat)グループであるPlushDaemonが、韓国のVPNプロバイダーに対する高度なサプライチェーン攻撃を受けて、サイバーセキュリティのレーダー上に現れました。この攻撃では、正規のインストーラーを侵害されたバージョンに置き換え、彼らの特徴的なインプラントであるSlowStepperを...

アメリカン・エキスプレス - 認識されない取引に関するメール詐欺

フィッシング, スパム
デジタル化が進む世界では、個人情報や金融情報を保護するには警戒が重要です。フィッシングの手口は、ユーザーの信頼を悪用して機密データを盗むために考案された、オンライン上の脅威として広く知られています。その中でも、American Express の認識されない取引に関するメール詐欺は、注目すべき例として浮上しています。この詐欺の背後にある手口を調べ、このような手口を見分ける方法を理解することで、ユーザーは自分の情報を保護するための積極的な対策を講じることができます。 明らかにされた戦術: メールの背後には何があるのでしょうか? American Express - 認識されていない取引のメ...

最も見られました

Discord 灰色の画面で立ち往生

問題
71,354
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
64,423
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

「プリンタドライバが利用できません」エラーを修正する方法

問題
63,302
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
読み込んでいます...