Северокорейские хакеры используют поддельные предложения о работе и замаскированные обновления приложений, чтобы пронести вредоносное ПО на компьютеры Mac, и хотя последнее обновление Apple XProtect блокирует некоторые угрозы, другие все еще проскальзывают.
Исследователи безопасности из SentinelLabs обнаружили новые варианты северокорейского семейства вредоносных программ, получившего название «FlexibleFerret», которые активно эксплуатируют пользователей macOS. Это вредоносное ПО является частью более широкой кампании, известной как «Заразительное собеседование», в рамках которой злоумышленники выдают себя за рекрутеров, чтобы обманом заставить соискателей установить вредоносное ПО.
В ответ на эти угрозы Apple выпустила обновление сигнатур XProtect, блокирующее несколько вариантов, включая FROSTYFERRET_UI, FRIENDLYFERRET_SECD и MULTI_FROSTYFERRET_CMDCODES.
XProtect — это встроенный в macOS инструмент Apple для обнаружения и удаления вредоносных программ, предназначенный для выявления и блокировки известных вредоносных программ. Он работает тихо в фоновом режиме, используя регулярно обновляемые сигнатуры безопасности для обнаружения угроз при загрузке или выполнении файлов.
В отличие от традиционных антивирусных программ, XProtect работает на системном уровне при минимальном взаимодействии с пользователем, автоматически защищая компьютеры Mac без необходимости ручного сканирования.
Некоторые компоненты вредоносного ПО, обнаруженные в FlexibleFerret, имеют сходство с полезной нагрузкой Stage 2, используемой в северокорейской кампании Hidden Risk. Изображение предоставлено: SentinelOne
Кампания по распространению вредоносного ПО развилась из предыдущих угроз, обнаруженных КНДР в декабре и январе. Для заражения систем macOS злоумышленники используют обманные тактики, такие как поддельные обновления Chrome и замаскированные установщики Zoom.
Механизмы сохранения вредоносного ПО и методы утечки данных указывают на то, что это хорошо финансируемая, поддерживаемая государством операция.
Как распространяется вредоносная программа
Вредоносная программа FlexibleFerret распространяется в основном с помощью социальной инженерии. Жертв обманом заставляют загрузить, казалось бы, легитимное приложение, такое как VCam или CameraAccess, после того как они сталкиваются с сообщением об ошибке во время фальшивого собеседования.
На самом деле эти приложения устанавливают вредоносный агент постоянства, который работает в фоновом режиме и похищает конфиденциальные данные. Один из обнаруженных пакетов, versus.pkg, содержит множество вредоносных компонентов, включая InstallerAlert.app, versus.app и неавторизованный двоичный файл с именем zoom.
После выполнения вредоносная программа устанавливает агент запуска для поддержания постоянства и связывается с командно-контрольным сервером через Dropbox.
Содержимое файла дроппера FlexibleFerret, versus.pkg. Image credit: SentinelOne
Последнее обновление XProtect от Apple блокирует ключевые компоненты вредоносного ПО, замаскированные под системные файлы macOS, включая com.apple.secd. Однако некоторые варианты FlexibleFerret остаются необнаруженными, что подчеркивает эволюционирующую природу этих угроз.
Защита вашего Mac
Пользователям Mac следует быть осторожными при загрузке программного обеспечения из ненадежных источников и скептически относиться к неожиданным предложениям по установке программ. Встроенные меры безопасности Apple обеспечивают первую линию защиты, но дополнительные решения для защиты конечных точек могут помочь обнаружить и блокировать возникающие угрозы.
Такие инструменты, как Malwarebytes, Sophos Home и CleanMyMac X, обеспечивают дополнительные уровни защиты от кибер-атак.
Новая вредоносная программа для macOS маскируется под популярные программы установки