Void Dokkaebi переводит InvisibleFerret на Cython-бинарники
Северокорейская хакерская группировка Void Dokkaebi усилила свое malware для кражи информации InvisibleFerret, переведя его с Python scripts на binary files, скомпилированные с помощью Cython. Такой шаг заметно повышает устойчивость вредоносной кампании к традиционным методам detection, ориентированным на script-based artifacts.
Что изменилось в InvisibleFerret
По данным отчета, вредоносное ПО теперь распространяется в виде файлов .pyd для Windows и .so для macOS. Это создает дополнительный уровень evasion, поскольку security tools, рассчитанные на поиск Python scripts, могут не распознавать такие binary files как привычный payload.
При этом InvisibleFerret сохраняет свои ключевые функции:
- backdoor access;
- credential theft;
- clipboard monitoring;
- keylogging;
- targeting of crypto wallets.
Дополнительно кампания использует BeaverTail, который теперь играет более сложную роль. Он отвечает не только за сбор учетных записей, но и за wallet trojanization, а также может загружать конкретные версии InvisibleFerret.
Как строится infection chain
Основной вектор заражения по-прежнему нацелен на software developers. Злоумышленники используют поддельные job offers и фальшивые рабочие места, что делает кампанию особенно опасной для специалистов, которые работают с cryptocurrency credentials и production systems.
Такой подход позволяет атакующим выстраивать доверительный сценарий контакта с жертвой, а затем доставлять вредоносный payload через многоэтапную цепочку заражения.
Почему переход на Cython важен
Использование Cython означает, что Python code преобразуется в native binary files. Для запуска таких файлов по-прежнему требуется Python runtime или interpreter, однако для defenders это создает более сложную среду анализа.
Важная деталь заключается в том, что binary files могут сохранять заметную часть исходных artifacts, включая:
- function initialization names;
- embedded file paths;
- служебные элементы, полезные для forensic analysis.
Это означает, что, несмотря на obfuscation, аналитики threats могут восстанавливать исходный malicious payload. Процесс deobfuscation, как отмечается в отчете, во многом остается сопоставимым с предыдущими версиями.
Обфускация и network communication
Кампания также использует advanced network communication techniques, включая split-and-swap IP encoding, что дополнительно осложняет detection и attribution.
Отдельные компоненты демонстрируют признаки ongoing development, в том числе unfinished features. Тем не менее сам переход на Cython показывает, что группа явно инвестирует в совершенствование evasion tactics.
Цель — криптокошельки и обход browser security
Особое внимание в кампании уделяется crypto wallets. В отчете указано, что злоумышленники даже применяют Chrome downgrade на macOS, чтобы обойти modern browser security controls и повысить эффективность кражи crypto assets.
Переход InvisibleFerret на binary form — это не просто техническое изменение, а попытка усложнить работу средств detection и вынудить defenders адаптироваться к более гибридной модели анализа.
В целом кампания Void Dokkaebi демонстрирует устойчивую эволюцию: от Python scripts к binary payloads, от простого вредоносного компонента к многоэтапной инфраструктуре, способной скрытно доставлять и обновлять вредоносные модули. Для организаций, особенно работающих с cryptocurrency assets и software development environments, это означает необходимость пересмотра подходов к monitoring, threat hunting и binary analysis.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
