FlexibleFerret продолжает красть пароли: как северокорейские хакеры используют фиктивные собеседования для атак на macOS

Атака начинается с создания убедительных фиктивных сайтов по подбору персонала, таких как evaluza[.]com и proficiencycert[.]com. Злоумышленники имитируют процесс найма в известные компании, включая блокчейн-проекты, и предлагают кандидатам пройти многоэтапное собеседование. После заполнения анкеты и записи видео-презентации соискателям предлагают выполнить команду в терминале macOS под предлогом решения технических проблем с доступом к камере или микрофону.

На первом этапе жертва выполняет curl-команду, которая загружает скрипт macpatch.sh в директорию /var/tmp/, делает его исполняемым и запускает в фоновом режиме. Этот скрипт автоматически определяет архитектуру процессора (arm64 или x86_64) и загружает соответствующий вредоносный payload (полезную нагрузку) с сервера злоумышленников. Например, для процессоров Apple Silicon используется адрес hXXps://app.zynoracreative.com/updrv8/drv-Arm64.patch.

Второй этап атаки включает распаковку архива CDrivers.zip и создание механизма persistence (устойчивости) через LaunchAgent. Вредоносный скрипт регистрирует службу com.driver9990as7tpatch.plist в папке LaunchAgents, что обеспечивает автоматический запуск malware при каждой загрузке системы. Параллельно запускается приложение-обманка MediaPatcher.APP, которое имитирует интерфейс Chrome и выводит фиктивные запросы на доступ к камере и паролю.

Третий этап активирует бэкдор на Go, который генерирует уникальный идентификатор устройства и устанавливает соединение с командным сервером (C2) по адресу 95.169.180.140:8080. Backdoor поддерживает разнообразные команды, включая сбор системной информации, загрузку и выгрузку файлов, выполнение произвольных команд и кражу данных из браузера Chrome. Особую опасность представляет функционал кражи учетных данных через анализ Chrome Login Data DB и связанных файлов ключей.

Эксперты отмечают, что данная кампания демонстрирует эволюцию тактик социальной инженерии. Злоумышленники тщательно прорабатывают легенду фиктивных компаний и адаптируют сценарии под конкретных жертв. При этом использование легитимных сервисов типа Dropbox для эксфильтрации данных усложняет обнаружение атаки стандартными системами защиты.

Организациям рекомендуется обучать сотрудников распознаванию фишинговых сценариев и блокировать несанкционированный запуск команд терминала. Критически важно проверять подлинность рекрутинговых процессов и немедленно сообщать о любых предложениях выполнить технические "исправления" через командную строку. Гибкая адаптация FlexibleFerret к новым условиям подтверждает, что угрозы для macOS продолжают развиваться, требуя повышенного внимания к безопасности как корпоративных, так и личных устройств.

IPv4 Port Combinations

• 95.169.180.140:8080

Domains

• compassidea.org
• evaluino.com
• evaluza.com
• proficiencycert.com
• zynoracreative.com

URLs

• https://app.compassidea.org/vcamv8/drvMac-an5r.patch
• https://app.evaluino.com/v86/drvMac-an5r.patch
• https://app.evaluza.com/hbrev1023/drvMac-tk5i.patch
• https://app.proficiencycert.com/toolCamV8/drvMac-cb5h.patch
• https://app.zynoracreative.com/updrv8/drv-Arm64.patch
• https://app.zynoracreative.com/updrv8/drv-Intel.patch
• https://app.zynoracreative.com/updrv8/drvMac-as7t.patch

SHA256

• 01a8ae878073d950abd6cf70d8e266a4cbefad9b4de6c256b2516bdbd11cbfe8
• 0267702a659b7e6b8ae0ce994ad3e6d426747f1a1c199a89398622d0189b56d0
• 14a56d6381c1ee8e0561da1fbdb895e6ba70578245fc43177f0b4635a155ee84
• 159046fd26701315cfd79bd392a8fa05d4bcae47cfa2409f03628b823cb477c4
• 4faf567238e22a6217270c550aa9437141e693eb28bbf460c9996071fda0ab05
• 7c1e5f1fadd194555a77f13105b988c0f2994b741e932837228fe47bc30d8dcf
• 8cacecc1d0da29a5928f73d5b1c1301c6e78300cc6b78db787acdb19f1eaaec3
• d9ee3e3af1c57022ba1e843d78ec2b4fb6cb8a65b7eecab9b94c5f4b34338e8d
• fa0022f19c01c56beffe1447e6d62358e770deffe53e39010d6b7ca7b5c87209