پژوهشگران امنیت سایبری از شناسایی کارزاری جدید خبر دادهاند که کاربران دستگاههای مک را هدف قرار داده است. مهاجمان در این حمله با جعل هویت مسئولان استخدام در لینکدین، کاربران را به وبسایتی ساختگی برای ارسال ویدیوی معرفی و درخواست شغلی هدایت میکنند؛ جایی که بدافزاری با نام Flexible Ferret روی سیستم قربانی نصب میشود.
این حمله که با عنوان «مصاحبه واگیردار» (Contagious Interview) شناخته میشود، احتمالا با کره شمالی در ارتباط است. هدف آن، جذب توسعهدهندگان نرمافزار، پژوهشگران هوش مصنوعی و متخصصان حوزه رمزارزها از طریق پیشنهاد شغلهای جعلی است.
در فرآیند ساختگی استخدام، کاربران پس از مراجعه به وبسایت جعلی، موظف میشوند یک آزمون شغلی را تکمیل کنند. هنگام تلاش برای ضبط ویدیو، به آنها اعلام میشود که دسترسی به دوربین یا میکروفون مسدود است. سپس برای رفع مشکل، کاربر باید بهظاهر نرمافزار FFmpeg را بهروزرسانی کند.
در واقع، این بهروزرسانی جعلی حاوی اسکریپتی است که از طریق اجرای دستور curl در ترمینال، بدافزار را روی سیستم نصب میکند. پس از آن، اپلیکیشنی ساختگی با ظاهری مشابه مرورگر کروم باز میشود و دسترسی به دوربین را درخواست میکند. در مرحله بعد، پنجرهای ظاهر شده و از کاربر میخواهد رمز سیستم را وارد کند؛ اطلاعاتی که مستقیما برای مهاجمان ارسال میشود.
مرحله نهایی این زنجیره بدافزاری، نصب Flexible Ferret است: یک بدافزار چندمرحلهای مبتنی بر زبان Go که از ابتدای سال ۲۰۲۵ فعال بوده و پس از سرقت رمز عبور، با ایجاد یک LaunchAgent در سیستم، دسترسی مداوم مهاجمان را تضمین میکند.
قابلیتهای این بدافزار شامل موارد زیر است:
- جمعآوری اطلاعات کامل درباره سیستم قربانی
- اجرای فرامین شِل از راه دور
- بارگذاری و دانلود فایلها
- استخراج دادههای مرورگر کروم
- سرقت خودکار اطلاعات و گذرواژهها
این حمله نهتنها موجب نقض گسترده حریم خصوصی میشود، بلکه کنترل کامل سیستم آلوده را در اختیار مهاجمان قرار میدهد و دستگاه را به بخشی از یک باتنت تبدیل میکند. کاربرانی که از مک استفاده میکنند باید نسبت به پیامهای شغلی در شبکههای اجتماعی بهشدت محتاط باشند و از اجرای دستورات ناشناس در ترمینال خودداری کنند.
توضیحات بیشتر:
Fake LinkedIn jobs trick Mac users into downloading Flexible Ferret malware