DeliverbleFerret恶意软件攻击macOS用户，逃避XProtect检测-安全KER

DeliverbleFerret恶意软件攻击macOS用户，逃避XProtect检测

阅读量6455

发布时间 : 2025-02-05 15:26:28

译文声明

本文是翻译文章，文章原作者 Tushar Subhra Dutta，文章来源：cybersecuritynews

原文地址：https://cybersecuritynews.com/flexibleferret-malware-attacking-macos-users/

译文仅供参考，具体内容表达以及含义原文为准。

一种名为 “灵活雪貂”（FlexibleFerret）的新型恶意软件变体已被识别，它以 macOS 用户为目标，且能躲避苹果 XProtect 工具的检测。

该恶意软件是一场更大规模攻击活动的一部分，幕后黑手被认为是朝鲜的威胁行为者，他们一直采用复杂策略诱骗受害者安装恶意软件。

“雪貂” 恶意软件家族，包括 “冰冷雪貂_用户界面”（FROSTYFERRET_UI）和 “友好雪貂_安全”（FRIENDLYFERRET_SECD）等变体，于 2023 年 12 月首次被报道。

SIEM 即服务

这些恶意软件组件与 “传染性面试” 攻击活动有关，在该活动中，威胁行为者将恶意软件伪装成虚拟面试所需软件，诱骗求职者安装。

“灵活雪貂” 恶意软件组件（来源：SentinelOne）

此外，SentinelOne 的网络安全专家发现，苹果最近更新了 XProtect 以阻止其中一些变体，但 “灵活雪貂” 仍未被检测到。

“灵活雪貂” 分析

“灵活雪貂” 通过一个名为 versus.pkg 的苹果安装包进行传播，该安装包包含多个恶意组件，如 InstallerAlert.app、versus.app 以及一个名为 zoom 的独立二进制文件。

安装后脚本执行（来源：SentinelOne）

安装后，postinstall.sh 脚本用于执行这些组件，并将执行进度记录到 /tmp/postinstall.log。

# Log the start of the script
echo “$(date): Running post-installation script…” >> /tmp/postinstall.log
# Check if the zoom file exists and execute it
if [ -f /var/tmp/zoom ]; then
echo “$(date): Zoom file exists, executing…” >>/tmp/postinstall.log
/var/tmp/zoom >> /tmp/postinstall.log 2>&1 &
else
echo “$(date): Zoom file not found” >> /tmp/postinstall.log
fi

名为 zoom 的虚假二进制文件会与域名 zoom.callservice [.] us 进行通信，而这并非合法的 Zoom 域名。

与此同时，InstallerAlert.app 通过显示一条错误消息，诱使用户认为它是一个合法应用程序，同时在用户的 “资源库 / LaunchAgents” 文件夹中秘密安装一个名为 com.zoom.plist 的常驻项。

InstallerAlert 错误消息（来源：SentinelOne）

“传染性面试” 攻击活动已从单纯针对求职者扩大到针对 GitHub 等平台上的开发者。威胁行为者利用合法代码库中的虚假问题来分发恶意软件释放器。

建议用户在从不可信来源安装软件时保持谨慎，并及时更新安全软件。

入侵指标（IoCs）

versus.pkg：388ac48764927fa353328104d5a32ad825af51ce
InstallerAlert Mach – Os：1a28013e4343fddf13e5c721f91970e942073b88，3e16c6489bac4ac2d76c555eb1c263cd7e92c9a5，76e3cb7be778f22d207623ce1907c1659f2c8215

本文翻译自cybersecuritynews 原文链接。如若转载请注明出处。