Des chercheurs ont récemment identifié de nouvelles variantes d’un logiciel malveillant macOS utilisé par des acteurs menaçants soutenus par l’État nord-coréen dans le cadre de campagnes d’escroqueries via de faux entretiens d’embauche.
Dans un article de blog publié lundi, SentinelOne a révélé l’existence de “FlexibleFerret”, un nouveau type de malware macOS qui n’est pas encore détecté par les logiciels de sécurité d’Apple. Les chercheurs de SentinelLabs ont indiqué que FlexibleFerret fait partie d’une campagne de menace active baptisée “Contagious Interview”, où les acteurs nord-coréens se servent d’opportunités d’emploi pour inciter des cibles à télécharger le malware.
« Les victimes sont généralement invitées à communiquer avec un intervieweur via un lien qui renvoie à un message d’erreur, accompagné d’une demande d’installation ou de mise à jour d’un logiciel nécessaire comme VCam ou CameraAccess pour des réunions virtuelles », ont écrit les chercheurs dans leur article.
Le malware Ferrett a été documenté pour la première fois par des entreprises de cybersécurité en décembre dernier, selon SentinelOne. Apple a récemment apporté des mises à jour à sa fonction de sécurité XProtect pour traiter plusieurs variantes de ce type de malware. Cependant, les acteurs nord-coréens ont rapidement évolué en déployant FlexibleFerret, qui échappe à la détection par XProtect.
De plus, les chercheurs de SentinelLabs ont noté que, contrairement aux autres variantes de ce groupe de malwares macOS, FlexibleFerret a été signé avec une signature de développeur Apple valide et un identifiant d’équipe, comportant d’autres éléments qui lui confèrent une apparence de logiciel légitime. Les signatures et identifiants d’équipe ont cependant été révoqués, d’après les chercheurs.
La campagne Contagious Interview, en cours depuis novembre 2023, cible tant les employeurs que les développeurs de logiciels via des publications sur des plateformes de recherche d’emploi et des forums. Les acteurs menacants agissant pour le compte de l’État se présentent généralement comme des recruteurs potentiels et essaient d’attirer des développeurs avec de faux entretiens d’embauche. Lorsque la victime clique sur un lien malveillant proposé par l’intervieweur, FlexibleFerret infecte son appareil avec un accès arrière qui pourrait permettre aux attaquants d’accéder à l’employeur actuel de la victime.
Cibles de GitHub
Les chercheurs de SentinelLabs ont observé que cette dernière itération de la campagne ciblait les utilisateurs de GitHub en ouvrant de faux problèmes dans des dépôts légitimes.
« Des tactiques diverses permettent aux acteurs de la menace de déployer des malwares vers un large éventail de cibles au sein de la communauté des développeurs, que cela soit dans le cadre d’efforts ciblés ou via des approches plus aléatoires à travers les réseaux sociaux et les sites de partage de code comme Github », ont-ils précisé.
Phil Stokes, chercheur senior chez SentinelLabs et co-auteur du blog, a déclaré que bien que XProtect ne détecte pas encore FlexibleFerret, Apple semble avoir pris des mesures pour pallier ce nouveau malware.
« À ce jour, XProtect ne contient pas de règle pour FlexibleFerret. L’une des différences significatives entre FlexibleFerret et les autres malwares identifiés par les règles Ferret d’Apple est que FlexibleFerret a été signé avec un identifiant de développeur Apple », a déclaré Stokes. « Cette certification avait déjà été révoquée par Apple au moment où nous avons publié cet article, ce qui indique qu’Apple est au courant de ce développeur. »
Stokes a ajouté que SentinelLabs a enregistré une augmentation des malwares macOS au cours de l’année écoulée.
Les activités de la campagne Contagious Interview illustrent une fois de plus les attaques menées par des acteurs soutenus par l’État nord-coréen contre les entreprises et les développeurs via des campagnes axées sur l’emploi. En 2022, le FBI avait averti que des menaces se faisaient passer pour des ressortissants non nord-coréens utilisant des technologies de deepfake pour tenter d’obtenir un emploi au sein d’entreprises occidentales en tant que personnel informatique et développeurs de logiciels.
Si ces acteurs étaient engagés, ils pourraient exploiter cet accès pour dérober des données sensibles et de la propriété intellectuelle. Les autorités américaines et les entreprises de cybersécurité ont recommandé aux employeurs d’entreprise et gouvernementaux d’exercer une vigilance accrue lors des entretiens avec des candidats potentiels et de prendre des mesures supplémentaires pour vérifier les identités.
Bon à savoir
- Les acteurs menaçants nord-coréens exploitent des techniques ingénieuses pour tromper leurs victimes.
- Une vigilance accrue serait bénéfique lors des rencontres professionnelles, surtout par le biais d’outils de communication numérique.
- Il existe des mesures de cybersécurité que les entreprises peuvent mettre en place pour se protéger contre ce type d’attaques, y compris l’éducation continue des employés sur les menaces potentielles.
Dans un monde numérique de plus en plus complexe, il est important de rester informé sur les menaces potentielles et d’adopter des pratiques sécuritaires. Ce type de cybercriminalité souligne l’importance de la vigilance dans un environnement professionnel sensible, où l’intégrité des informations est primordiale pour la pérennité des entreprises.
Les nouvelles sur ce malware macOS sont inquiétantes. Cela montre à quel point la cybersécurité est cruciale dans le monde d’aujourd’hui, surtout lors des entretiens d’embauche.