Flexible Ferret: fałszywi rekruterzy atakują kandydatów i infekują macOS

W sieci pojawiła się nowa fala ataków wymierzonych w osoby szukające pracy. Cyberprzestępcy odgrywają rolę „rekruterów”, kontaktują się przez LinkedIn i kierują ofiary na specjalnie przygotowany serwis rekrutacyjny. Tam kandydat ma nagrać krótkie wideo, co ma potwierdzić jego tożsamość oraz „ukończyć proces selekcji”.

W praktyce nagranie nigdy nie dochodzi do skutku. Strona wyświetla komunikat o braku dostępu do kamery lub mikrofonu i proponuje instalację „aktualizacji FFmpeg”. Ofierze podaje się nawet gotowy skrypt curl, który trzeba wkleić do Terminala — co jest klasycznym narzędziem do wymuszenia wykonania złośliwego kodu.

Po uruchomieniu komendy pobiera się skrypt, który instaluje na urządzeniu backdoor. Dodatkowo uruchamiana jest atrapowa aplikacja utrzymana w stylu Chrome — ta prosi o hasło użytkownika, które następnie jest przekazywane operatorom kampanii.

Co potrafi Flexible Ferret?

Po zdobyciu hasła malware:

• tworzy LaunchAgent, by utrzymywać się po restarcie,
• uruchamia moduł w Go, pozwalający na:
  – zdalne wykonywanie poleceń,
  – przesyłanie plików w obie strony,
  – zbieranie danych o systemie,
  – pozyskiwanie informacji z przeglądarki Chrome,
  – automatyczne pozyskiwanie dodatkowych danych i haseł.

W efekcie atakujący zyskują pełną kontrolę nad systemem — włącznie z trwałym dostępem i możliwością rozbudowy infekcji.

Równolegle stosowany jest wariant na Windows, znany jako InvisibleFerret, odpowiedzialny głównie za zbieranie danych.

Jak się zabezpieczyć?

• Nie uruchamiaj poleceń ani skryptów, jeśli nie pochodzą z oficjalnego źródła.
• Nie instaluj „aktualizacji” sugerowanych przez przypadkowe strony.
• Regularnie aktualizuj system i oprogramowanie ochronne.
• Weryfikuj tożsamość rzekomych rekruterów — szczególnie, gdy proszą o wykonanie czynności technicznych.
• Zawsze sprawdzaj adres strony, zanim pobierzesz cokolwiek na komputer.

---

Źródło:
Malwarebytes