- Jamf informa que actores norcoreanos utilizan anuncios de empleo falsos y tácticas ClickFix para atacar a usuarios de macOS
- Se engaña a las víctimas para que ejecuten comandos curl en la Terminal instalando el malware de puerta trasera FlexibleFerret
- La campaña, denominada Entrevista Contagiosa, permite el robo de credenciales, la exfiltración de archivos y el compromiso del sistema.
Los actores de amenazas patrocinados por el estado de Corea del Norte están apuntando a los usuarios de macOS con nuevo malware, utilizando una estrategia que combina dos enfoques populares: anuncios de trabajo falsos y ClickFix, advirtieron los expertos.
Los investigadores de seguridad Jamf confirmaron que detectaron ataques utilizando ClickFix, un método de ataque en el que a la víctima se le presenta un problema falso y al mismo tiempo se le presenta una solución. Es una evolución de la antigua ventana emergente “Tienes un virus” que dominó Internet a principios de la década de 2000.
Jamf dice que los “operadores alineados con la RPDC” de la familia de malware FlexibleFerret han estado creando empresas falsas, perfiles falsos de LinkedIn y, lo más importante, anuncios de trabajo falsos, como parte de una campaña más amplia llamada Contagious Interview.
Comandos curl y correcciones falsas
Las víctimas, principalmente desarrolladores de software, descubrirían estos sitios y anuncios de empleo por sí mismas o serían invitadas a entrevistas a través de LinkedIn.
Después de pasar por varios bucles, se pedía a las víctimas que grabaran un vídeo de sí mismas a través de la plataforma del empleador, pero si intentaban hacerlo, la plataforma les decía que su cámara no funciona correctamente.
Luego se les presentaría una solución (un comando curl que se ingresaría en la Terminal) que no resuelve el problema, pero introduce malware en el sistema.
Este malware, esencialmente una puerta trasera, hace algunas cosas: genera un breve identificador de máquina, busca duplicados y luego extrae comandos adicionales de un servidor de comandos codificado.
Estos comandos incluyen recopilar información del sistema, cargar o descargar archivos, ejecutar comandos de shell, extraer datos del perfil de Chrome o activar el robo automático de credenciales.
“Las organizaciones deben tratar las revisiones de ‘entrevistas’ no solicitadas y las instrucciones de ‘arreglo’ basadas en terminales como de alto riesgo y asegurarse de que los usuarios sepan detenerse e informar estas instrucciones en lugar de seguirlas”, concluyeron los investigadores.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News y agréganos como fuente preferida para recibir noticias, análisis y opiniones de expertos en tus feeds. ¡Asegúrate de hacer clic en el botón Seguir!
Y por supuesto que tú también puedes Siga TechRadar en TikTok para noticias, reseñas, unboxings en formato de video y reciba actualizaciones periódicas de nuestra parte en WhatsApp también.
