В нова кръпка за своя инструмент за зловреден софтуер в устройството,  Apple пуска актуализации на сигнатури в XProtect, за да блокира варианти на зловреден софтуер, принадлежащ към така нареченото семейство macOS Ferret.

Този зловреден софтуер е идентифициран като част от „Contagious Interview“(заразно интервю) – севернокорейска кампания, включваща заплахи, които примамват цели и ги убеждават да инсталират зловреден софтуер на устройствата си чрез фалшив процес на интервю за работа. Другите варианти в кампанията включват: FROSTYFERRET_UI, FRIENDLYFERRET_SECD и MULTI_FROSTYFERRET_CMDCODES.

Семейството зловреден софтуер на КНДР беше описано подробно от изследователите за първи път през декември 2024 г. и отново през януари, където в рамките на кампанията целите са помолени да общуват с „интервюиращ“ чрез връзка, която изисква да се инсталира софтуер, необходим за виртуални срещи.

След като бъде инсталиран, той стартира злонамерен шел скрипт и инсталира агент за устойчивост, както и изпълним файл, представящ се за актуализация на Google Chrome.

Веригите за атаки на Contagious Interview са проектирани така, че да пускат базирания на JavaScript зловреден софтуер „BeaverTail“, който доставя Python backdoor, известен като InvisibleFerret, и събира чувствителни данни от уеб браузъри и крипто портфейли.

А сега изследователите от SentinelOne изтъкват образци, които наричат „FlexibleFerret“ и които не са били открити от XProtect към 3 февруари, което предполага, че  заплахите усъвършенстват тактиката си, за да избегнат откриването. Този компонент датира още от ноември 2023 г.

„В един пример от края на декември един „коментатор“ остави инструкции, водещи до изтегляне на дропери от семейството на Ferret“, заявяват изследователите от SentinelOne. „Това подсказва, че бандитите с удоволствие разширяват векторите, чрез които доставят зловредния софтуер, отвъд конкретното насочване към търсещите работа към разработчици в по-общ план.“