研究者たちは、Macユーザーを標的とした新たな攻撃を発見しました。攻撃者は偽の求人サイトに誘導し、偽のソフトウェアアップデートを通じてマルウェアをダウンロードさせます。
攻撃者はリクルーターを装い、LinkedInを通じて人々に連絡し、求人への応募を促します。応募プロセスの一環として、被害者は自己紹介動画を録画し、特設サイトにアップロードするよう求められます。
そのウェブサイト上で、訪問者はFFmpegメディアファイル処理ソフトウェアの「アップデート」をインストールするよう騙されますが、実際にはバックドアです。この手法はContagious Interviewキャンペーンとして知られ、朝鮮民主主義人民共和国(DPRK)に関連しています。
Contagious Interviewは、求職者を標的とした違法な求人プラットフォームキャンペーンで、ソーシャルエンジニアリングの手法を用います。攻撃者は有名ブランドになりすまし、ソフトウェア開発者、人工知能研究者、暗号通貨の専門家、技術職・非技術職の候補者を積極的にリクルートします。
悪意のあるウェブサイトは、まず被害者に「職務評価」を完了するよう求めます。応募者が動画を録画しようとすると、サイトはカメラやマイクへのアクセスがブロックされていると主張します。それを「修正」するために、FFmpegの「アップデート」をダウンロードするよう促します。
ClickFix攻撃と同様に、被害者はターミナルで実行するcurlコマンドを渡されます。そのコマンドはスクリプトをダウンロードし、最終的にバックドアをシステムにインストールします。その後、「ダミー」アプリケーションがChrome風のウィンドウを表示し、Chromeがカメラアクセスを必要としていると伝えます。次に、ユーザーのパスワード入力を促すウィンドウが現れ、入力されたパスワードはDropbox経由で攻撃者に送信されます。
攻撃者の最終目的はFlexible Ferretであり、2025年初頭から活動している多段階のmacOSマルウェアチェーンです。以下はその機能と、感染したMacやユーザーにとって危険な理由です:
パスワードを盗んだ後、マルウェアは即座にLaunchAgentを作成して永続化を確立します。これにより、ユーザーがログインするたびに再起動され、攻撃者は長期間にわたり密かに感染Macへアクセスできます。
FlexibleFerretのコアペイロードはGoベースのバックドアです。攻撃者は以下のことが可能になります:
- 被害者のデバイスや環境に関する詳細情報の収集
- ファイルのアップロードおよびダウンロード
- シェルコマンドの実行(システム全体の制御)
- Chromeブラウザのプロファイルデータの抽出
- 追加の認証情報やデータの自動窃取
要するに、感染したMacはサイバー犯罪者が直接操作できるリモート制御ボットネットの一部となります。
安全を守る方法
このキャンペーンはMacユーザーを標的としていますが、Windowsユーザーが安全というわけではありません。同様の手口が使われており、攻撃者はWindowsユーザーに対して情報窃取型マルウェアInvisibleFerretを使用していることが知られています。
このような攻撃を見抜くことが最善の防御策ですが、他にもできることがあります。
- オペレーティングシステム、ソフトウェア、セキュリティツールを常に最新のパッチで定期的に更新し、脆弱性を塞ぎましょう。
- 完全に理解していないコードを自分のマシンで実行する指示には従わないでください。ウェブサイトやメール、メッセージからコピーしたコードやコマンドは、信頼できる出所であり、その目的を理解している場合を除き、決して実行しないでください。指示内容は必ず独自に確認しましょう。ウェブサイトがコマンド実行や技術的な操作を指示してきた場合は、公式ドキュメントを確認するか、サポートに問い合わせてから進めてください。
- リアルタイムのアンチマルウェアソリューションとウェブ保護機能を利用しましょう。
- 予期しない連絡には十分注意し、とくに会議への招待やソフトウェアのインストール・アップデートを求められた場合は、送信者や内容を必ず独自に確認してください。
- 未知または予期しない送信元からのリンクをクリックしたり、添付ファイルをダウンロードしたりしないでください。必ず正当性を確認しましょう。
- ブラウザのアドレスバーに表示されているURLが、期待しているものと一致しているか確認してください。
