DeliverbleFerret恶意软件攻击macOS用户,逃避XProtect检测

安全动态 发布时间:2025-02-05 15:26:28 7 浏览
一种名为 “灵活雪貂”(FlexibleFerret)的新型恶意软件变体已被识别,它以 macOS 用户为目标,且能躲避苹果 XProtect 工具的检测。

 

该恶意软件是一场更大规模攻击活动的一部分,幕后黑手被认为是朝鲜的威胁行为者,他们一直采用复杂策略诱骗受害者安装恶意软件。

 

“雪貂” 恶意软件家族,包括 “冰冷雪貂_用户界面”(FROSTYFERRET_UI)和 “友好雪貂_安全”(FRIENDLYFERRET_SECD)等变体,于 2023 年 12 月首次被报道。

SIEM 即服务

 

这些恶意软件组件与 “传染性面试” 攻击活动有关,在该活动中,威胁行为者将恶意软件伪装成虚拟面试所需软件,诱骗求职者安装。

“灵活雪貂” 恶意软件组件(来源:SentinelOne)

 

此外,SentinelOne 的网络安全专家发现,苹果最近更新了 XProtect 以阻止其中一些变体,但 “灵活雪貂” 仍未被检测到。

“灵活雪貂” 分析

 

“灵活雪貂” 通过一个名为 versus.pkg 的苹果安装包进行传播,该安装包包含多个恶意组件,如 InstallerAlert.app、versus.app 以及一个名为 zoom 的独立二进制文件。

安装后脚本执行(来源:SentinelOne)

 

安装后,postinstall.sh 脚本用于执行这些组件,并将执行进度记录到 /tmp/postinstall.log。
# Log the start of the script
echo “$(date): Running post-installation script…” >> /tmp/postinstall.log
# Check if the zoom file exists and execute it
if [ -f /var/tmp/zoom ]; then
echo “$(date): Zoom file exists, executing…” >>/tmp/postinstall.log
/var/tmp/zoom >> /tmp/postinstall.log 2>&1 &
else
echo “$(date): Zoom file not found” >> /tmp/postinstall.log
fi
名为 zoom 的虚假二进制文件会与域名 zoom.callservice [.] us 进行通信,而这并非合法的 Zoom 域名。

 

与此同时,InstallerAlert.app 通过显示一条错误消息,诱使用户认为它是一个合法应用程序,同时在用户的 “资源库 / LaunchAgents” 文件夹中秘密安装一个名为 com.zoom.plist 的常驻项。

InstallerAlert 错误消息(来源:SentinelOne)

 

“传染性面试” 攻击活动已从单纯针对求职者扩大到针对 GitHub 等平台上的开发者。威胁行为者利用合法代码库中的虚假问题来分发恶意软件释放器。

 

建议用户在从不可信来源安装软件时保持谨慎,并及时更新安全软件。

入侵指标(IoCs)

 

  • versus.pkg:388ac48764927fa353328104d5a32ad825af51ce
  • InstallerAlert Mach – Os:1a28013e4343fddf13e5c721f91970e942073b88,3e16c6489bac4ac2d76c555eb1c263cd7e92c9a5,76e3cb7be778f22d207623ce1907c1659f2c8215
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐

Ivanti Endpoint Manager 修补关键安全漏洞

从梦想的工作到危险的密码:Lazarus Group 的 LinkedIn 攻击

第一届“启航杯”网络安全挑战赛

喜讯!360获评2024软件和信息服务业年度领航企业及创新成果两项大奖

Zendesk 基础设施在网络钓鱼和 “屠猪 ”计划中被利用

春节我在岗 敬业不打烊| 用坚守诠释网络安全“敬业福”