InvisibleFerret: новое оружие северокорейских хакеров против криптовалютных бирж
Хакеры искусно оборачивают доверие жертв против них самих.
В октябре и ноябре наблюдался всплеск активности хакеров из Северной Кореи, применяющих необычный способ распространения вредоносного ПО. Злоумышленники имитируют процесс собеседований, чтобы заражать жертв вредоносными программами, такими как BeaverTail и InvisibleFerret. Основной целью становятся разработчики, работающие в технологической, финансовой и криптовалютной сферах.
InvisibleFerret — это сложное вредоносное ПО на Python, специально разработанное для кражи исходного кода, криптокошельков и конфиденциальных файлов. Его распространение начинается с загрузки через другой вредоносный модуль — BeaverTail, маскирующийся под легитимные программные зависимости.
InvisibleFerret использует сервисы вроде «ip-api[.]com» для определения местоположения жертвы, а также собирает информацию об операционной системе, имени пользователя и хосте. Затем вредоносное ПО подключается к серверам управления и контроля, используя необычные порты, что затрудняет его обнаружение.
Для передачи украденных данных InvisibleFerret применяет несколько методов, включая загрузку на FTP-серверы и отправку через Telegram-ботов. Вредоносное ПО способно компрометировать браузеры, такие как Chrome, Brave и Opera, извлекая пароли, куки и историю посещений. Кроме того, оно нацелено на расширения для криптовалютных кошельков, менеджеров паролей и приложений для двухфакторной аутентификации.
Важной особенностью InvisibleFerret является его способность фиксировать изменения буфера обмена и перехватывать ввод с клавиатуры. Это позволяет хакерам красть пароли и другую конфиденциальную информацию. Кроме того, ПО может завершать работу популярных браузеров и запускать следующее звено вредоносной цепочки.
Эксперты ANY.RUN подробно проанализировали поведение InvisibleFerret, выявив ключевые индикаторы компрометации. Организованные атаки, такие как «фейковые собеседования», требуют серьёзных ресурсов, включая разработку реалистичных сценариев атаки. Исследователи настоятельно рекомендуют соискателям проверять подлинность вакансий и избегать запуска подозрительных программ.