Flexible-Ferret est une variante évasive utilisée dans la campagne «Interview contagieuse» qui, même la protection des pommes, ne peut pas signaler.
La famille MacOS Ferret, des variantes de logiciels malveillants utilisés par les APT nord-coréennes pour le cyber-espionnage, a reçu un nouveau membre comme échantillons d’une variante résistante à la détection, un gerret flexible, apparaissent dans la nature.
La découverte des échantillons a été faite par des chercheurs de Sentinélone qui ont noté la capacité de la variante pour échapper à la récente mise à jour de la signature XProtect qu’Apple a poussé pour bloquer les infections de furet.
« Contrairement aux échantillons précédents, ce logiciel malveillant a été signé avec une signature de développeur Apple valide et une pièce d’identité d’équipe », a déclaré les chercheurs de Sentineone dans un article de blog.
La famille des logiciels malveillants MacOS Ferret est lié à la campagne «interview contagieuse» par des acteurs de la menace soutenus par la RPDC, où les attaquants incitent les cibles à installer des logiciels malveillants sous le couvert d’un processus d’entrevue d’embauche.
La campagne remonte à novembre 2023, en utilisant plusieurs variantes des logiciels malveillants, notamment Frostyferret_Ui, Friendlyferret_Secd et Multi_Frostyferret_Cmdcodes. Apple avait implémenté une protection contre toutes ces variantes dans la dernière mise à jour de la signature XProtect.
Ferret est un click-fixe sournois
Ce qui se passe généralement dans une attaque d’interview contagieuse, c’est qu’une cible reçoit un contact avec des intervieweurs qui lance un message d’erreur avec une invite pour installer ou mettre à jour un logiciel apparemment important, tel que VCAM, pour la réunion.
Dès que la victime clique sur l’invite d’action, le malware binaire exécuté (généralement le logiciel malveillant «Beavertail» basé sur JavaScript) exécute un script de shell malveillant qui installe un agent de persistance dans le système local, ainsi qu’un exécutable se faisant passer pour une mise à jour Google Chrome (étiqueté Chromeupdate) qui est en réalité une porte dérobée et un voleur de Golang.
Le malware Ferret est spécialement conçu pour les systèmes MacOS, avec des variantes ciblées sur l’interface utilisateur de MacOS (Frostyferret_UI), le démon de sécurité (FriendlyFerret_Secd) et les codes de commande dans l’environnement macOS (Multi_frostyferret_cmdcodes).
FlexibleFerret se précipite devant la protection des pommes
Selon les chercheurs, Apple XProtect version 5286 visant à bloquer les variantes de furet ne signale pas la nouvelle variante FlexibleForret, au moins jusqu’à la publication de leur rapport le 3 février.
Au cours de leur analyse continue de la souche des furets, les Sentinelabs ont identifié une variante du chromeupdate, étiquetée comme mac-installer.instaleralert. Le programme d’installation s’est démarqué alors qu’il a été signé avec un ID de développeur Apple valide et un identifiant d’équipe. Une enquête plus approfondie a révélé d’autres facteurs qui ont placé la variante de la famille des furets existants.
Le dropper de logiciels malveillants, versus.pkg, contenait deux applications – instaleralert.app et versus.app, ainsi qu’un binaire autonome trompeur appelé «zoom» qui sur l’exécution connecté à un domaine de service zoom non lié et les privilèges système élevés. De plus, l’installateraRert.App a déclenché un message d’erreur imitant l’avertissement de MacOS Gatekeeper, tandis qu’en arrière-plan, il a laissé tomber un agent de persistance.
L’installateur Mac, malgré une similitude de code de 86% avec Chromeupdate, n’a pas été signalé par XProtect. Il n’a été découvert que par l’équipe pour utiliser un ID de développeur révoqué, en découvrant des échantillons flexibles supplémentaires.
«La campagne« Interview contagieuse »et la famille de logiciels malveillants de Ferret représentent une campagne continue et active, les acteurs de la menace passant des applications signées à des versions non signées similaires fonctionnellement comme requis», ont ajouté des chercheurs. «Des tactiques diverses aident les acteurs de la menace à proposer des logiciels malveillants à une variété de cibles dans la communauté des développeurs, à la fois dans les efforts ciblés et ce qui semble être des approches plus« à armes à feu »via les médias sociaux et les sites de partage de code comme GitHub».
