- Jamf segnala che alcuni hacker nordcoreani utilizzano annunci di lavoro falsi e tattiche ClickFix per prendere di mira gli utenti macOS
- Le vittime vengono indotte con l'inganno a eseguire comandi curl nel Terminale, installando il malware backdoor FlexibleFerret
- La campagna, denominata Contagious Interview, consente il furto di credenziali, l'esfiltrazione di file e la compromissione del sistema
Gli esperti hanno avvertito che gli autori delle minacce sponsorizzate dallo Stato nordcoreano stanno prendendo di mira gli utenti macOS con un nuovo malware, utilizzando una strategia che combina due approcci molto diffusi: annunci di lavoro falsi e ClickFix.
I ricercatori di sicurezza Jamf hanno confermato di aver individuato attacchi in circolazione che utilizzano ClickFix, un metodo di attacco in cui alla vittima viene presentato un problema falso e, allo stesso tempo, una soluzione. Si tratta di un'evoluzione del vecchio popup “Hai un virus” che ha dominato Internet nei primi anni 2000.
Jamf afferma che gli “operatori allineati alla Corea del Nord” della famiglia di malware FlexibleFerret hanno creato aziende false, profili LinkedIn falsi e, soprattutto, annunci di lavoro falsi, come parte di una campagna più ampia chiamata Contagious Interview.
Comandi curl e correzioni fasulle
Le vittime, per lo più sviluppatori software, scoprivano questi siti web e annunci di lavoro autonomamente oppure venivano invitate a colloqui tramite LinkedIn.
Dopo aver superato diverse fasi iniziali, veniva chiesto loro di registrare un video tramite la piattaforma del potenziale datore di lavoro. Tuttavia, al momento del tentativo, la piattaforma segnalava un malfunzionamento della fotocamera.
A questo punto, veniva suggerita una "soluzione": un comando curl da inserire nel Terminale, il quale in realtà non risolveva il problema, ma introduceva silenziosamente il malware nel sistema.
Questo software malevolo, in sostanza una backdoor, compie diverse azioni: genera un breve identificatore della macchina, verifica la presenza di duplicati e poi scarica comandi aggiuntivi da un server di controllo (command server) predefinito. Tali comandi includono la raccolta di informazioni di sistema, il caricamento o il download di file, l'esecuzione di comandi shell, l'estrazione dei dati del profilo di Chrome o l'attivazione di un furto automatizzato di credenziali.
Per proteggere i propri sistemi da minacce di questo tipo, è fondamentale che gli utenti si dotino dei migliori antivirus.
"Le aziende dovrebbero trattare le valutazioni di 'colloquio' non richieste e le istruzioni di 'risoluzione' basate sul Terminale come situazioni ad alto rischio, assicurandosi che gli utenti siano consapevoli di doversi fermare e segnalare tali richieste anziché seguirle", hanno concluso i ricercatori.