Интересно Северокорейская группировка Void Dokkaebi сменила язык программирования для вредоносного ПО.

[Admin]

​

Северокорейская группировка Void Dokkaebi изменила способ доставки вредоносной программы InvisibleFerret, чтобы избежать обнаружения антивирусами.

Теперь вредоносный код распространяется в виде скомпилированных модулей, что затрудняет его обнаружение традиционными методами защиты.

Группировка Void Dokkaebi, также известная как Famous Chollima, атакует разработчиков программного обеспечения, выдавая себя за рекрутеров из компаний, связанных с криптовалютами и искусственным интеллектом. Вредоносная программа InvisibleFerret теперь обфусцируется с помощью Cython, что делает её менее заметной для антивирусов. В Windows программа распространяется как файлы .pyd, а в macOS как файлы .so. Для работы вредоносного модуля создаётся отдельный сценарий Python, который загружает и выполняет модуль. Это усложняет обнаружение реального сервера управления. Кроме того, компонент BeaverTail теперь обладает функциями, схожими с InvisibleFerret, включая сбор данных из браузеров и установку поддельных расширений. Организациям, работающим с криптовалютными сервисами, рекомендуется уделять особое внимание подозрительным файлам и временным сценариям запуска.