Análise do Malware InvisibleFerret Compilado em Cython do Void Dokkaebi

O grupo Void Dokkaebi (também conhecido como Famous Chollima) migrou seu "stealer" InvisibleFerret de scripts Python legíveis para módulos de extensão .pyd e .so compilados em Cython, carregados via um script de execução .mod. Essa mudança quebra detecções baseadas em script, mas mantém acesso de backdoor, roubo de credenciais de navegador, keylogging e trojanização de carteiras de criptomoedas. A cadeia de ataque executa BeaverTail (gjs) como um downloader JavaScript que busca binários específicos da plataforma. O módulo "mc" faz o downgrade do Chrome no macOS para restaurar o suporte a Manifest V2 para extensões adulteradas como MetaMask, Coinbase e Phantom. A lógica de desofuscação principal de XOR-then-Zlib permanece inalterada em relação às versões anteriores. Para defesa, é crucial mudar para detecção binária que cubra módulos de extensão, artefatos embarcados e scripts de runtime, além de procurar nomes de módulos como mod.pyd/pad.so/brw.so em caminhos .vscode e recuperar infraestrutura C&C como 45[.]59[.]160[.]199 aplicando a rotina XOR documentada aos scripts de execução.