Thought Leadership
Das Threat Labs Team von Jamf hat eine neue Variante der Malware-Familie FlexibleFerret untersucht. Die Schadsoftware wird Gruppen zugeschrieben, die im Umfeld Nordkoreas agieren und bereits durch die sogenannte Contagious Interview Kampagne aufgefallen sind.
Diese Angriffe nutzen fingierte Bewerbungsverfahren, um Personen gezielt zu sicherheitskritischen Handlungen zu verleiten.
Täuschende Bewerbungsprozesse als Einfallstor
Im Zentrum der aktuellen Angriffswelle stehen professionelle Webseiten, die vermeintliche Stellenangebote präsentieren. Jamf benennt Beispiele wie evaluza[.]com oder proficiencycert[.]com. Während früher einzelne Positionen imitiert wurden, existieren inzwischen ganze Jobplattformen mit vielen verschiedenen Rollen. Dadurch erreichen die Angreifer eine größere Anzahl möglicher Opfer und wirken überzeugender als in früheren Kampagnen.
Die Zielgruppe bleibt jedoch ähnlich. Besonders Fachkräfte aus der Krypto und Blockchain Branche geraten ins Visier. Hier verfügen viele Personen über Zugänge zu Wallets oder unternehmenskritischen Systemen.
Mechanik der Manipulation
FlexibleFerret setzt vor allem auf soziale Manipulation. Bewerbende erhalten nach einer angeblichen Aufgabenbearbeitung die Aufforderung, ein kurzes Vorstellungsvideo aufzunehmen. Um dabei angebliche technische Probleme zu beheben, sollen sie einen Terminalbefehl unter macOS ausführen. Indem das Opfer diesen Befehl selbst eingibt, umgeht die Malware Sicherheitsfunktionen des Betriebssystems wie den Gatekeeper.
Ein häufig genutztes Muster besteht darin, einen harmlos wirkenden curl Befehl als notwendigen Schritt für Kamera oder Mikrofon zu erklären. Wird er ausgeführt, lädt das System im Hintergrund automatisch die passende Schadsoftware für die vorhandene Prozessorarchitektur herunter.
Nach erfolgreicher Installation führt FlexibleFerret mehrere Schritte durch. Die Malware blendet eine täuschend echt wirkende Zugriffsanfrage ein, die in der Eingabe eines Passworts endet. Diese Daten werden anschließend an einen Dropbox Account übertragen. Zusätzlich richtet die Schadsoftware eine Backdoor ein. Diese ermöglicht unter anderem das Sammeln von Systeminformationen, den Austausch von Dateien mit einem Command and Control Server sowie das Ausführen von Betriebssystembefehlen.
Warum FlexibleFerret für macOS relevant ist
Die Bedrohung ergibt sich weniger aus technischer Raffinesse, sondern aus der stetigen Verbesserung der Täuschungsmethoden. Da der Schadcode durch eine bewusste Nutzeraktion gestartet wird, greifen viele der eingebauten Sicherheitsmechanismen von macOS nicht wie vorgesehen. Für Betroffene entsteht außerdem psychischer Druck, da die Aufforderung im Rahmen eines vermeintlich realen Bewerbungsprozesses erfolgt.
Obwohl die genaue Zielsetzung nicht vollständig geklärt ist, zeigen frühere Vorfälle, dass Angreifer häufig auf den Diebstahl von Kryptowerten abzielen. Darüber hinaus ermöglichen gestohlene Zugangsdaten oder Cookies weitere Aktivitäten im Namen der Opfer. Das Spektrum reicht von Kontozugriffen bis hin zu Manipulationen in Systemen, zu denen die betroffenen Personen Zugang haben.
