Капкан для соискателей: как приглашение в Zoom может пробить ваш цифровой барьер

На прошлой неделе Apple обновила систему обнаружения вредоносных программ XProtect, добавив сигнатуры для блокировки нескольких новых вариантов вредоносного ПО, связанного с Северной Кореей. Среди них — FROSTYFERRET_UI, FRIENDLYFERRET_SECD и MULTI_FROSTYFERRET_CMDCODES.

Исследователи SentinelLabs, которые ранее описывали семейство Ferret, выявили новую подгруппу вредоносного ПО под названием FlexibleFerret, которая на момент публикации отчёта оставалась незамеченной XProtect.

Вредоносное ПО распространяется в рамках кампании «Contagious Interview», нацеленной на разработчиков и специалистов по кибербезопасности. Злоумышленники заманивают жертв предложениями о работе, убеждая их установить якобы необходимые для интервью приложения, такие как VCam или CameraAccess. В результате установки запускается вредоносный скрипт, устанавливающий троянский агент и исполняемый файл, маскирующийся под обновление Google Chrome.

Новые образцы FlexibleFerret распространяются через установочный пакет «versus.pkg», содержащий приложения «InstallerAlert.app», «versus.app» и поддельный бинарный файл Zoom. Вредоносное ПО запускает скрипт «postinstall.sh», который использует повышенные привилегии для развёртывания нескольких компонентов в системе. Оно также устанавливает элемент автозапуска в пользовательской папке LaunchAgents под именем «com.zoom.plist», чтобы обеспечивать постоянство в системе.

Поддельный бинарник Zoom взаимодействует с сервером «zoom.callservice[.]us», который не является официальным доменом Zoom. Вредоносное ПО также использует Dropbox для эксфильтрации данных и сервис «api.ipify[.]org» для получения IP-адреса жертвы.

Исследователи обнаружили, что FlexibleFerret имеет 86% сходства с предыдущим вариантом ChromeUpdate, который уже был признан вредоносным Apple. Однако новая версия подписана другим сертификатом разработчика, который впоследствии был отозван. Анализ позволил обнаружить дополнительные образцы FlexibleFerret, признанные вредоносными рядом антивирусных решений.

Киберпреступники продолжают развивать методы атаки, переходя от таргетированных атак на соискателей к более массовому распространению через GitHub. В декабре были зафиксированы попытки оставить комментарии в репозиториях разработчиков с предложением загрузить файлы, содержащие вредоносное ПО семейства Ferret.

Специалисты SentinelLabs предупреждают, что кампания «Contagious Interview» остаётся активной, а злоумышленники продолжают совершенствовать механизмы распространения и маскировки вредоносного ПО. Рекомендуется избегать загрузки неизвестных установочных пакетов и тщательно проверять источники любых предложений о работе.