Les attaques des pirates de Corée du Nord continuent de proliférer. Ils concentrent actuellement leurs efforts dans une campagne qui visent les utilisateurs de Mac, avec des méthodes de filous très bien rodées.
Les hackers agissant pour le compte de la Corée du Nord ne manquent ni d’imagination ni de ressources pour tromper leurs victimes. Les chercheurs en sécurité de Jamf ont détecté une nouvelle campagne d’infection de Mac en s’appuyant sur les logiciels malveillants FlexibleFerret. Le vecteur principal est redoutable : il s’agit de fausses offres d’emploi débouchant sur des processus de recrutement bidon.
Une campagne macOS très convaincante
Le mode opératoire est le suivant : attiré par une offre d’emploi, la victime se rend sur un faux site d’évaluation de recrutement. Après avoir rempli un formulaire d’embauche, la personne est invitée à enregistrer une vidéo de présentation ; problème : la caméra de son Mac ne fonctionne pas — soit disant. On lui propose alors de lancer une commande dans le Terminal pour débloquer la situation.
Mais voilà : cette commande télécharge un script qui installe une porte dérobée persistante, capable entre autres méfaits de voler des mots de passe Chrome et d’exécuter des commandes à distance. Tout cela permet au pirate d’exfiltrer des fichiers, de récupérer des infos système, de voler des données, etc. Le malware contourne la protection Gatekeeper et installe un agent de surveillance complet sur le Mac. Les hackers utilisent ici une vieille technique, la fausse embauche, remise au goût du jour !
FlexibleFerret ne vise donc plus seulement Windows. Les utilisateurs Mac sont eux aussi en danger, et la plateforme est même une cible prioritaire pour les opérateurs liés à la Corée du Nord. Les attaques les plus efficaces ne passent pas seulement par des failles techniques, mais par des processus d’ingénierie sociale comme ces embauches entièrement scénarisées, qui poussent les victimes à utiliser un Terminal sans les alerter.
Les conseils donnés par les chercheurs en sécurité sont de bon sens : ces « tests d’entretien » non sollicités doivent être considérés comme des signaux d’alerte très sérieux. Tout comme les « correctifs » à saisir au Terminal. Mieux vaut interrompre complètement la procédure et signaler ces bizarreries plutôt que de s’entêter.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.
Source :
Jamf