تستمر حملة FlexibleFerret لسرقة بيانات الاعتماد على macOS، مستهدفة المستخدمين عبر عمليات توظيف مزيفة. في هذا المقال، نستعرض تفاصيل هذه الحملة وكيفية حماية نفسك.
يواصل مشغلو البرمجيات الضارة المرتبطون بكوريا الشمالية، والمعروفون باسم FlexibleFerret، تحسين وتكييف حملتهم لسرقة بيانات الاعتماد التي تستهدف مستخدمي macOS من خلال استخدام عمليات التوظيف الوهمية.
أظهر تحليل حديث للحملة من قبل مختبرات Jamf أن الفاعل يستخدم طُعوم توظيف تبدو أكثر إقناعًا لخداع المستخدمين لتنفيذ أوامر ضارة في واجهة الأوامر الخاصة بنظام macOS، والمعروفة باسم Terminal.
حملة المقابلات المعدية
وجد تحليل Jamf أن الفاعل ينشر محمل قذيفة محدثًا يتميز بمنطق واعٍ للمعمارية (Intel أو Apple silicon)، وتطبيقات مزيفة، وآلية موثوقة أكثر للاستمرارية في الهجمات الأخيرة. كما تم تحديث باب خلفي قائم على Go يدعم المزيد من الأوامر، وقدرات محسنة لاستخراج البيانات وبنية أنظف مقارنة بالعينات في الحملات السابقة.
ربطت تقارير سابقة من بائعين وباحثين آخرين في مجال الأمن، بما في ذلك SentinelOne وValidin، FlexibleFerret بفاعل مرتبط بكوريا الشمالية مسؤول عن “المقابلة المعدية”، وهي عملية احتيال يتم فيها توجيه الأهداف خلال خطوات التوظيف التي تؤدي في النهاية إلى تنفيذ البرمجيات الضارة على أنظمتهم.
“تؤكد هذه الحملة أن FlexibleFerret لا يزال تهديدًا نشطًا على macOS، معتمدًا على طُعوم توظيف مقنعة لنقل الأهداف من تدفق توظيف مزيف إلى تشغيل أوامر مقدمة من المهاجم في Terminal التي تتجاوز الحمايات المدمجة مثل Gatekeeper،” قالت Jamf في تقرير هذا الأسبوع.
محور الحملة الجارية هو صفحات ويب متعددة ذات طابع توظيف مصممة لتقليد “بوابات تقييم التوظيف” الشرعية. أحد الأمثلة على ذلك هو evaluza dot com، الذي يقدم للمتقدمين ما يبدو أنه تقييم رسمي عبر الإنترنت لأدوار مثل “مدير عمليات رأس المال Blockchain”. يقوم مُشغل JavaScript ديناميكيًا بتحديد عناوين الوظائف وأسماء الشركات من قائمة محددة مسبقًا بحيث يبدو أن الصفحة مخصصة لكل زائر، وفقًا لـ Jamf. ثم يطلب الموقع من المستخدم إكمال مقدمة فيديو أو مهمة مشابهة قبل أن يطلب من الهدف تشغيل أمر Terminal لإصلاح مشكلة وصول غير موجودة للكاميرا أو الميكروفون.
تجاوز الحمايات المدمجة
لتجاوز الحمايات المدمجة في macOS وآليات التحقق من التطبيقات، يقنع الفاعل المستخدمين بأن يقوموا يدويًا بلصق أمر curl في Terminal الذي يبدأ عملية العدوى. بمجرد إطلاقه، يحدد البرنامج النصي للقذيفة ما إذا كان النظام الذي هبط عليه يعتمد على معالج Intel أو Apple ثم يسترد الحمولة المناسبة للمرحلة الثانية.
اكتشفت Jamf أن الفاعل الكوري الشمالي يستخدم تكتيكًا جديدًا يتمثل في تطبيق مزيف موقّع، يُدعى MediaPatcher.app، الذي عند فتحه يظهر طلبًا مزيفًا بأسلوب macOS للحصول على أذونات الكاميرا، يتبعه طلب كلمة مرور مشابه لنظام Chrome. في الخلفية، يجمع التطبيق الضار بيانات الاعتماد وينقلها إلى حساب Dropbox.
الباب الخلفي القائم على لغة Go هو الحمولة النهائية. وظيفته هي الاتصال بخادم القيادة والتحكم (C2) المحدد مسبقًا واستقبال وتنفيذ الأوامر الضارة نيابة عن المهاجم. وجدت Jamf أن الباب الخلفي قادر على التعامل مع المزيد من الأوامر مقارنة بالإصدارات السابقة، بما في ذلك جمع معلومات النظام، وتحميل وتنزيل الملفات، وجمع البيانات من المتصفح، واستخراج معلومات Keychain.
تُعتبر حملة FlexibleFerret تذكيرًا بكيفية كون مستخدمي macOS، وخاصة أولئك الذين يبحثون عن وظائف، هدفًا رئيسيًا لسرقة بيانات الاعتماد عبر حملات الهندسة الاجتماعية. كما تسلط الضوء على كيفية محاولة الفاعلين تجاوز الحمايات المدمجة للنظام ضد الملفات الضارة من خلال جعل المستخدمين يقومون بتثبيتها وتشغيلها مباشرة.
“يربط تحليلنا مُشغلات JavaScript بهجوم متعدد المراحل مألوف ويظهر أن الفاعل يواصل تحسين هندسته الاجتماعية لتندمج في عمليات تبدو شرعية،” قالت Jamf. “يجب على المنظمات اعتبار التقييمات ‘غير المرغوب فيها’ و’إصلاحات’ الأوامر المستندة إلى Terminal كمخاطر عالية والتأكد من أن المستخدمين يعرفون التوقف والإبلاغ عن هذه المطالبات حيث تستمر في الازدياد في مشهد التهديدات.”
تذكر أن تكون حذرًا عند التعامل مع أي طلبات غير متوقعة تتعلق بالتوظيف، وكن واعيًا لأساليب الهندسة الاجتماعية التي يستخدمها المهاجمون.
