Hackers enganam usuários do macOS para que executem comandos de terminal para instalar malware FlexibleFerret

Hackers enganam usuários do macOS para que executem comandos de terminal para instalar malware FlexibleFerret

Atores de ameaças alinhados à Coreia do Norte estão aproveitando sites falsos de recrutamento de empregos para enganar os usuários do macOS e fazê-los executar comandos maliciosos do Terminal que entregam o malware FlexibleFerret, de acordo com uma análise recente do Jamf Threat Labs.

A campanha, atribuída à operação Contagious Interview, representa uma iteração refinada de táticas de engenharia social projetadas para contornar as proteções de segurança do macOS, como o Gatekeeper.

Uma análise do início de 2025 feita pelo SentinelOne primeiro identificado a família de malware FlexibleFerret como parte de operações alinhadas à RPDC.

A família de malware rapidamente se tornou associada a elaboradas iscas de recrutamento falsas que orientam as vítimas através de processos de contratação escalonados, culminando na execução do malware.

Nas últimas semanas, pesquisadores de segurança observaram novas variantes desta campanha visando ativamente usuários do macOS por meio de portais de avaliação de contratação meticulosamente elaborados.

O ataque começa com arquivos JavaScript hospedados em sites de recrutamento falsos, como o evaluza[.]com e certificado de proficiência[.]com.

Esses sites são projetados para aparecerem como plataformas de contratação legítimas, oferecendo cargos com descrições como “Gerente de operações de capital Blockchain”.

As vítimas recebem avaliações de contratação com aparência profissional e são solicitadas a enviar apresentações em vídeo e fornecer informações pessoais, estabelecendo uma aparência de legitimidade.

Após concluir a avaliação, as vítimas recebem instruções para executar um comando curl no Terminal macOS.

A caça subsequente a ameaças no VirusTotal revelou vários arquivos JavaScript carregados recentemente fazendo referência a esse script de shell.

Os invasores empregam uma técnica de manipulação psicológica, alegando falsamente que o acesso à câmera ou ao microfone está bloqueado e que a execução do comando resolverá o problema.

Persistência e coleta de credenciais

O segundo estágio envolve um script de shell sofisticado que determina a arquitetura do host e baixa cargas específicas da arquitetura de servidores controlados pelo invasor.

Na realidade, o comando curl baixa um script de shell para /var/tmp/macpatch.sh, marca-o como executável e inicia-o em segundo plano.

O script estabelece persistência criando um LaunchAgent em ~/Library/LaunchAgents que executa automaticamente o malware no login.

Além disso, ele implanta um aplicativo enganoso chamado MediaPatcher.app, que exibe um prompt falso de acesso à câmera do Chrome seguido por uma caixa de diálogo de entrada de senha no estilo do Chrome para coletar as credenciais do usuário.

Os exfiltrados de malware capturados credenciais através do endpoint legítimo da API do Dropbox, ofuscando a comunicação C2 concatenando fragmentos de string.

Ele também consulta api.ipify.org para obter o endereço IP público da vítima para fins de reconhecimento.

A carga final é um backdoor baseado em Golang que gera um identificador de máquina exclusivo e estabelece conexão com o servidor de comando e controle em 95.169.180.140:8080.

Implicações para a segurança empresarial

O backdoor oferece suporte a vários recursos maliciosos, incluindo coleta de informações do sistema, operações de upload e download de arquivos, execução de comandos do sistema operacional, coleta de perfis do Chrome, roubo de dados de login e exfiltração de credenciais de armazenamentos de chaves do navegador.

Esta ameaça em evolução demonstra o quão sofisticado engenharia social continua a contornar os controlos técnicos de segurança.

Ao explorar a confiança do usuário em processos de recrutamento aparentemente legítimos e ao manipular as vítimas para que executem voluntariamente comandos do Terminal, os invasores contornam as proteções do sistema operacional projetadas para impedir a execução não autorizada de códigos.

As organizações devem implementar uma formação de sensibilização abrangente, enfatizando que as entrevistas de emprego não solicitadas, especialmente aquelas que solicitam a execução de comandos do Terminal, representam riscos críticos de segurança.

Tratar as comunicações de recrutamento inesperadas e as instruções de “correção” baseadas em terminais como indicadores de alto risco é essencial à medida que essas táticas se tornam cada vez mais predominantes no cenário de ameaças.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.