一种名为 “灵活雪貂”(FlexibleFerret)的新型恶意软件变体已被识别,它以 macOS 用户为目标,且能躲避苹果 XProtect 工具的检测。 该恶意软件是一场更大规模攻击活动的一部分,幕后黑手被认为是朝鲜的威胁行为者,他们一直采用复杂策略诱骗受害者安装恶意软件。 “雪貂” 恶意软件家族,包括 “冰冷雪貂_用户界面”(FROSTYFERRET_UI)和 “友好雪貂_安全”(FRIENDLYFERRET_SECD)等变体,于 2023 年 12 月首次被报道。 这些恶意软件组件与 “传染性面试” 攻击活动有关,在该活动中,威胁行为者将恶意软件伪装成虚拟面试所需软件,诱骗求职者安装。 此外,SentinelOne 的网络安全专家发现,苹果最近更新了 XProtect 以阻止其中一些变体,但 “灵活雪貂” 仍未被检测到。 “灵活雪貂” 通过一个名为 versus.pkg 的苹果安装包进行传播,该安装包包含多个恶意组件,如 InstallerAlert.app、versus.app 以及一个名为 zoom 的独立二进制文件。 安装后,postinstall.sh 脚本用于执行这些组件,并将执行进度记录到 /tmp/postinstall.log。# Log the start of the scriptecho “$(date): Running post-installation script…” >> /tmp/postinstall.log# Check if the zoom file exists and execute itif [ -f /var/tmp/zoom ]; thenecho “$(date): Zoom file exists, executing…” >>/tmp/postinstall.log/var/tmp/zoom >> /tmp/postinstall.log 2>&1 &elseecho “$(date): Zoom file not found” >> /tmp/postinstall.logfi名为 zoom 的虚假二进制文件会与域名 zoom.callservice [.] us 进行通信,而这并非合法的 Zoom 域名。 与此同时,InstallerAlert.app 通过显示一条错误消息,诱使用户认为它是一个合法应用程序,同时在用户的 “资源库 / LaunchAgents” 文件夹中秘密安装一个名为 com.zoom.plist 的常驻项。 “传染性面试” 攻击活动已从单纯针对求职者扩大到针对 GitHub 等平台上的开发者。威胁行为者利用合法代码库中的虚假问题来分发恶意软件释放器。 建议用户在从不可信来源安装软件时保持谨慎,并及时更新安全软件。 versus.pkg:388ac48764927fa353328104d5a32ad825af51ceInstallerAlert Mach – Os:1a28013e4343fddf13e5c721f91970e942073b88,3e16c6489bac4ac2d76c555eb1c263cd7e92c9a5,76e3cb7be778f22d207623ce1907c1659f2c8215
