- Jamfは、北朝鮮の関係者が偽の求人広告とClickFix戦術を使い、macOSユーザーを標的にしていると報告
- 被害者はターミナルでcurlコマンドを実行するよう騙され、FlexibleFerretバックドア型マルウェアをインストールさせられる
- このキャンペーンは「Contagious Interview」と呼ばれ、認証情報の窃取、ファイルの流出、システム侵害を可能にする
北朝鮮の国家支援型脅威アクターが、新たなマルウェアを使い、偽の求人広告とClickFixという2つの人気手法を組み合わせた戦略でmacOSユーザーを標的にしていると、専門家が警告しています。
セキュリティ研究者のJamfは確認しており、ClickFixを使った攻撃が実際に行われているとしています。ClickFixとは、被害者に偽の問題を提示し、同時にその「修正方法」も提示する攻撃手法です。これは、2000年代初頭にインターネット上で蔓延した「ウイルスに感染しています」というポップアップの進化版です。
Jamfによると、FlexibleFerretマルウェアファミリーに属する「DPRK(北朝鮮)系オペレーター」は、偽の企業や偽のLinkedInプロフィール、そして何よりも偽の求人広告を作成し、「Contagious Interview」と呼ばれる大規模なキャンペーンの一環として活動しています。
curlコマンドと偽の修正方法
被害者の多くはソフトウェア開発者で、自分でこれらのウェブサイトや求人広告を見つけるか、LinkedInを通じて面接に招待されます。
いくつかの手順を踏んだ後、被害者は雇用主のプラットフォームで自分のビデオを録画するよう求められますが、録画を試みると「カメラが正常に動作していません」と表示されます。
その後、「修正方法」としてターミナルに入力するcurlコマンドが提示されますが、これは問題を解決するものではなく、システムにマルウェアを導入するものです。
このマルウェアは本質的にはバックドアで、短いマシン識別子を生成し、重複をチェックした後、ハードコードされたコマンドサーバーから追加コマンドを取得します。
これらのコマンドには、システム情報の収集、ファイルのアップロードやダウンロード、シェルコマンドの実行、Chromeプロファイルデータの取得、自動認証情報窃取のトリガーなどが含まれます。
「組織は、予期しない『面接』評価やターミナルベースの『修正』指示を高リスクとして扱い、ユーザーがこれらの指示に従うのではなく、立ち止まって報告するよう周知徹底すべきです」と研究者らは結論付けています。
