朝鲜黑客正在使用虚假的工作优惠和伪装的应用程序更新,以便将恶意软件偷偷摸摸,虽然苹果的最新Xprotect更新阻碍了一些威胁,但其他XPROTECT更新仍在滑行。
前哨的安全研究人员已经确定了朝鲜恶意软件家族的新鲜变体,被称为“ FlexibleFerret”,它正在积极利用用户。该恶意软件是一项更广泛的活动的一部分,称为“具有传染性访谈”,攻击者作为招聘人员诱使求职者来安装恶意软件。
苹果以Xprotect签名更新做出了反应,以应对这些威胁,阻止了几种变体,包括FrostyFerret_UI,FriendlyFerret_Secd和Multi_frostyferret_cmdcodes。
Xprotect是Apple的MACOS内置恶意软件检测和删除工具,旨在识别和阻止已知的恶意软件。它使用定期更新的安全签名在后台静静地运行,以检测文件下载或执行时的威胁。
与传统的防病毒软件不同,Xprotect可以在系统级别运行,并以最小的用户交互作用,自动保护MAC而无需手动扫描。
灵活弗雷特(FlexibleFerret)中发现的一些恶意软件组件与朝鲜隐藏的风险运动中使用的第2阶段有效载荷具有相似之处。图片来源:前哨
恶意软件活动是从12月和1月发现的早期朝鲜提取的威胁演变而来的。攻击者正在使用欺骗性策略,例如假铬更新和伪装的变焦安装程序来感染MacOS系统。
恶意软件的持久性机制和数据剥落方法表明,资金充足的国家支持的操作。
恶意软件如何传播
灵活的Ferret恶意软件主要通过社会工程扩展。在虚假工作面试中遇到错误消息之后,受害者被欺骗下载看似合法的应用程序,例如VCAM或Cameraaccess。
实际上,这些应用程序安装了在后台运行的恶意持续代理,从而窃取敏感数据。一个已识别的软件包versus.pkg包含多个恶意组件,包括installeralert.app,versus.app和一个名为Zoom的Rogue二进制文件。
执行后,恶意软件将安装启动代理,以维持持久性并通过Dropbox与命令和控制服务器进行通信。
FlexibleFerret Dropper的文件内容,Vortus.pkg。图片来源:前哨
苹果的最新Xprotect更新阻止了伪装成Macos系统文件的关键恶意软件组件,包括com.apple.secd。但是,一些灵活的弗雷特变体仍未被发现,突出了这些威胁的不断发展的性质。
保护您的Mac
从不信任来源下载软件时,Mac用户应该谨慎意外的软件安装提示。苹果的内置安全措施提供了第一道防线,但是其他端点安全解决方案可以帮助检测和阻止新兴威胁。
恶意软件,Sophos Home和Cleanmymac X等工具为网络攻击提供了额外的保护层。
