- Jamf melaporkan aktor Korea Utara menggunakan iklan pekerjaan palsu dan taktik ClickFix untuk menargetkan pengguna macOS
- Korban tertipu untuk menjalankan perintah curl di Terminal, menginstal malware pintu belakang FleksibelFerret
- Kampanye tersebut, yang dijuluki Contagious Interview, memungkinkan pencurian kredensial, eksfiltrasi file, dan kompromi sistem
Pelaku ancaman yang disponsori negara Korea Utara menargetkan pengguna macOS dengan yang baru perangkat lunak perusakmemanfaatkan strategi yang menggabungkan dua pendekatan populer – iklan pekerjaan palsu, dan ClickFix, para ahli telah memperingatkan.
Peneliti keamanan Jamf dikonfirmasi mereka telah melihat serangan di alam liar menggunakan ClickFix, sebuah metode serangan di mana korban diberikan masalah palsu, dan pada saat yang sama, diberikan perbaikan. Ini adalah evolusi dari popup lama “Anda punya virus” yang mendominasi internet pada awal tahun 2000-an.
Jamf mengatakan ‘operator yang selaras dengan DPRK’ dari keluarga malware FleksibelFerret telah menciptakan perusahaan palsu, profil LinkedIn palsu dan, yang paling penting – iklan pekerjaan palsu, sebagai bagian dari kampanye yang lebih luas yang disebut Wawancara Menular.
Perintah curl dan perbaikan palsu
Korban, sebagian besar pengembang perangkat lunak, akan menemukan sendiri situs web dan iklan pekerjaan tersebut, atau akan diundang untuk wawancara melalui LinkedIn.
Setelah melewati beberapa putaran, para korban kemudian akan diminta untuk merekam video diri mereka sendiri melalui platform perusahaan, namun jika mereka mencoba melakukannya, platform tersebut akan memberi tahu mereka bahwa kamera mereka tidak berfungsi dengan benar.
Mereka kemudian akan diberikan perbaikan – perintah curl untuk dimasukkan ke Terminal – yang tidak memperbaiki masalah melainkan memasukkan malware ke dalam sistem.
Malware ini, pada dasarnya adalah pintu belakang, melakukan beberapa hal – menghasilkan pengidentifikasi mesin pendek, memeriksa duplikat, dan kemudian menarik perintah tambahan dari server perintah yang dikodekan secara keras.
Perintah tersebut termasuk mengumpulkan informasi sistem, mengunggah atau mengunduh file, menjalankan perintah shell, menarik data profil Chrome, atau memicu pencurian kredensial otomatis.
“Organisasi harus memperlakukan penilaian ‘wawancara’ yang tidak diminta dan instruksi ‘perbaikan’ berbasis Terminal sebagai hal yang berisiko tinggi, dan memastikan pengguna tahu untuk berhenti dan melaporkan petunjuk ini daripada mengikutinya,” para peneliti menyimpulkan.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
