האקרים צפון קוריאנים משתמשים בהצעות עבודה מזויפות ובעדכוני אפליקציות מחופשים כדי להגניב תוכנה זדונית עליהמקינטוש, ובעוד העדכון האחרון של ה- Xprotect של אפל חוסם כמה איומים, אחרים עדיין מחליקים.
חוקרי אבטחה מ- Sentinellabsזיהוגרסאות טריות של משפחת תוכנות זדוניות צפון קוריאניות, המכונה "גמישות גמישות", המנצלת באופן פעילמקוסמשתמשים. התוכנה הזדונית היא חלק ממסע פרסום רחב יותר המכונה "ראיון מדבק", בו התוקפים מתכוונים למגייסים להערים על מחפשי עבודה להתקנת תוכנה זדונית.
אפל הגיבה עם עדכון חתימה של Xprotect כדי להתמודד עם איומים אלה, וחסמה כמה גרסאות, כולל frostyferret_ui, friendlyferret_secd ו- multi_frostyferret_cmdcodes.
Xprotect הוא כלי הגילוי וההסרה המובנה של Apple של Apple עבור MacOS, שנועד לזהות ולחסום תוכנה זדונית ידועה. זה פועל בשקט ברקע, תוך שימוש בחתימות אבטחה מעודכנות באופן קבוע כדי לאתר איומים כאשר מורידים או מבצעים קבצים.
בניגוד לתוכנות אנטי -וירוס מסורתיות, Xprotect פועלת ברמת המערכת בעזרת אינטראקציה מינימלית של משתמשים, הגנה אוטומטית על Macs מבלי לדרוש סריקות ידניות.
כמה רכיבי תוכנות זדוניות שנמצאו ב- GlessibleFerret חולקים קווי דמיון עם עומסי המשא שלב 2 המשמשים בקמפיין הסיכון הנסתר של צפון קוריאה. קרדיט תמונה: Sentinelone
קמפיין התוכנה הזדונית התפתח מאיומים קודמים שהוגדרו ב- DPRK שהתגלו בדצמבר ובינואר. התוקפים משתמשים בטקטיקות מטעות כמו עדכוני כרום מזויפים ומתקיני זום מחופשים כדי להדביק מערכות MacOS.
מנגנוני ההתמדה של התוכנה הזדונית ושיטות הסינון הנתונים מצביעים על פעולה ממומנת היטב ומגובה מדינה.
איך התוכנה הזדונית מתפשטת
התוכנה הזדונית של גמישות מתפשטת בעיקר באמצעות הנדסה חברתית. הקורבנות מרוממים להוריד אפליקציה לגיטימית לכאורה, כמו VCAM או CameraCcess, לאחר שנתקלו בהודעת שגיאה במהלך ראיון עבודה מזויף.
במציאות, אפליקציות אלה מתקנות סוכן התמדה זדוני הפועל ברקע, וגונב נתונים רגישים. חבילה מזוהה אחת, לעומת .pkg, מכילה רכיבים זדוניים מרובים, כולל installeralert.app, versus.app, ובינארי סורר בשם Zoom.
לאחר ביצוע, התוכנה הזדונית מתקינה סוכן שיגור לשמירה על התמדה ותקשורת עם שרת פקודה ושליטה באמצעות Dropbox.
תוכן קובץ של טפטפת הגמישות של FressibleFerret, versus.pkg. קרדיט תמונה: Sentinelone
עדכון ה- Xprotect האחרון של אפל חוסם רכיבי תוכנות זדוניות מקשים המחופשים לקבצי מערכת MacOS, כולל com.apple.secd. עם זאת, כמה גרסאות גמישות של גמישות נותרו ללא גילוי, ומדגישות את האופי המתפתח של האיומים הללו.
הגנה על ה- Mac שלך
על משתמשי Mac להיות זהירים בעת הורדת תוכנה ממקורות לא מהימניםוספקניםשל הנחיות התקנת תוכנה בלתי צפויות. אמצעי האבטחה המובנים של אפל מספקים קו הגנה ראשון, אך פתרונות אבטחה נוספים של נקודת הקצה יכולים לעזור לאתר ולחסום איומים מתעוררים.
כלים כמו MalwareBytes, Sophos Home ו- CleanMymac X מציעים שכבות הגנה נוספות מפני התקפות סייבר.
