Công ty an ninh mạng
SentinelLabs đã công bố một báo cáo vào ngày
3 tháng 2, cảnh báo rằng
hacker đang lợi dụng phần mềm độc hại có tên “FlexibleFerret” để tấn công người dùng
Mac. Các cuộc tấn công này chủ yếu diễn ra thông qua
tin tuyển dụng giả mạo hoặc
ngụy trang dưới dạng bản cập nhật của Chrome / Zoom.
Apple đã cập nhật hệ thống bảo vệ
XProtect để đối phó với mối đe dọa này, chặn thành công nhiều biến thể của
FlexibleFerret, bao gồm:
•
FROSTYFERRET_UI
•
FRIENDLYFERRET_SECD
•
MULTI_FROSTYFERRET_CMDCODES
Tuy nhiên,
một số biến thể mới vẫn chưa bị phát hiện, cho thấy các mối đe dọa này đang
không ngừng tiến hóa.
FlexibleFerret – Phần mềm độc hại nhắm vào ứng viên xin việc
“FlexibleFerret” thuộc chiến dịch tấn công có tên
“Contagious Interview”, sử dụng kỹ thuật
kỹ nghệ xã hội (social engineering) để lừa đảo.
🔹 Hacker đóng giả
nhà tuyển dụng và dụ dỗ ứng viên cài đặt phần mềm độc hại.
🔹 Trong các cuộc phỏng vấn xin việc từ xa, nạn nhân sẽ nhận được
thông báo lỗi giả, yêu cầu tải về và cài đặt các ứng dụng có vẻ hợp pháp như
VCam hoặc
CameraAccess.
🔹 Trên thực tế, những ứng dụng này chứa
một tác nhân độc hại, chạy ẩn trong hệ thống và đánh cắp
dữ liệu nhạy cảm của người dùng.
Cách thức hoạt động của phần mềm độc hại
Gói phần mềm độc hại mang tên
versus.pkg chứa nhiều thành phần nguy hiểm:
•
InstallerAlert.app
•
versus.app
•
Tập tin nhị phân độc hại giả danh zoom
Khi thực thi, phần mềm độc hại sẽ:
✔
Cài đặt một tác nhân khởi động để đảm bảo nó có thể chạy liên tục.
✔
Giao tiếp với máy chủ điều khiển thông qua Dropbox, giúp hacker điều khiển thiết bị từ xa.
Cảnh báo cho người dùng Mac: Không tải hoặc cài đặt phần mềm từ nguồn không chính thống, đặc biệt là từ các đường link được gửi trong quá trình phỏng vấn xin việc trực tuyến.