Hackeři napojení na Severokorejský režim využívají falešné nabídky práce a maskované aktualizace aplikací k infikování zařízení s operačním systémem macOS. I když společnost Apple svůj ochranný mechanismus XProtect aktualizovala k blokování několika variant tohoto malwaru, jiné formy útoku stále pronikají skrze nastavené zábrany.
Mohlo by vás zajímat
FlexibleFerret: Nová hrozba pro majitele Macu
Bezpečnostní experti ze SentinelLabs odhalili novou skupinu malwaru, označovanou jako FlexibleFerret. Tato škodlivá kampaň cílí specificky na uchazeče o zaměstnání, kteří jsou klamáni falešnými náboráři a podvodnými softwarovými aktualizacemi. Po stažení zdánlivě legitimní aplikace, jako je VCam nebo CameraAccess, dochází k nepozorované instalaci škodlivého s
XProtect nestačí
Společnost Apple zareagovala aktualizací XProtect, která blokuje několik nových variant tohoto malwaru, včetně FROSTYFERRET_UI, FRIENDLYFERRET_SECD a MULTI_FROSTYFERRET_CMDCODES. XProtect je integrovaný nástroj pro detekci a odstranění malwaru v oepračním systému macOS, který automaticky chrání uživatele bez nutnosti manuálního skenování. I přes tuto aktualizaci se však některé varianty FlexibleFerret stále dokáží vyhnout detekci, což podtrhuje schopnost útoků se neustále vyvíjet.
Fotogalerie
FlexibleFerret se šíří především skrze sociální inženýrství, kdy jsou oběti lákány na falešné pracovní nabídky a vybízeny k instalaci škodlivé aplikace. Mezi další způsoby, kterými se FlexibleFerret dokáže dostat do systému, patří podvodné instalační balíčky pro prohlížeč Chrome nebo komunikační aplikaci Zoom.
Mezi identifikované škodlivé soubory patří balíček versus.pkg, který obsahuje součásti jako InstallerAlert.app, versus.app a binární soubor zoom. Malware se následně připojuje k řídícímu serveru přes Dropbox, kde dochází k exfiltraci citlivých dat. Prevence je i v tomto případě stejná jako u kteréhokoliv jiného malwaru – neotevírat podezřelé e-maily, nestahovat software z neznámých zdrojů a v neposlední řadě být opatrní na neočekávané výzvy k instalaci softwaru – pokud vás aplikace vyzývá k neplánované aktualizaci, ověřte si ji u oficiálního zdroje.
