详细内容或原文请订阅后点击阅览
虚假 LinkedIn 职位诱骗 Mac 用户下载Flexible Ferret 恶意软件
诈骗者利用虚假工作和虚假视频更新,通过专为长期访问和数据盗窃而设计的多阶段窃取程序来感染 Mac 用户。
来源:Malwarebytes Labs 博客研究人员发现了一种针对 Mac 用户的新攻击。它引诱他们访问虚假的求职网站,然后诱骗他们通过虚假的软件更新下载恶意软件。
研究人员攻击者冒充招聘人员并通过 LinkedIn 联系人们,鼓励他们申请职位。作为申请过程的一部分,受害者需要录制一段视频介绍并将其上传到一个专门的网站。
在该网站上,访问者被诱骗安装所谓的 FFmpeg 媒体文件处理软件更新,这实际上是一个后门。这种被称为“传染性访谈”运动的方法指向朝鲜民主主义人民共和国(DPRK)。
富有感染力的采访活动传染性面试是一种非法的工作平台活动,利用社会工程策略针对求职者。这些演员冒充知名品牌,积极招募软件开发人员、人工智能研究人员、加密货币专业人士以及技术和非技术职位的候选人。
恶意网站首先要求受害者完成“工作评估”。当申请人尝试录制视频时,该网站声称对摄像头或麦克风的访问被阻止。为了“修复”这个问题,该网站会提示用户下载 FFmpeg 的“更新”。
与 ClickFix 攻击非常相似,受害者会收到一个在终端中运行的curl 命令。该命令下载一个脚本,最终将后门安装到他们的系统上。然后会出现一个“诱饵”应用程序,其中带有一个看起来像 Chrome 的窗口,告诉用户 Chrome 需要摄像头访问权限。接下来,会出现一个窗口,提示用户输入密码,输入密码后,密码会通过 Dropbox 发送给攻击者。
ClickFix 攻击攻击者的最终目标是Flexible Ferret,这是一个自 2025 年初以来活跃的多阶段 macOS 恶意软件链。以下是它的作用以及为什么它对受影响的 Mac 和用户来说很危险:
FlexibleFerret的核心有效负载是一个基于Go的后门。它使攻击者能够:
已知