Hack Alerta

FlexibleFerret: campanha que induz macOS a executar comandos no Terminal

Por Redação Hack Alerta Publicado em 27/11/2025 05:03 Riscos e Ameaças Tempo de leitura: 3 min

Pesquisadores da Jamf identificaram uma variante do FlexibleFerret que usa sites de recrutamento falsos para induzir usuários macOS a executar comandos no Terminal, baixando um backdoor em Golang e roubando credenciais via iscas que enviam dados para Dropbox.

Pesquisadores da Jamf identificaram uma nova variante do malware FlexibleFerret que emprega engenharia social para convencer usuários macOS a executar comandos no Terminal, levando ao download e execução de payloads maliciosos. A operação se disfarça como um processo de seleção de emprego em sites falsos e já está associada à campanha Contagious Interview, atribuída a operadores norte‑coreanos.

Descoberta e escopo

A cadeia de ataque começa com anúncios de vagas e sites de avaliação de candidatos (ex.: evaluza.com e proficiencycert.com) que apresentam testes e até pedem vídeos de apresentação. Após completar o processo, a vítima recebe instruções para executar um comando no Terminal sob o pretexto de corrigir acesso à câmera ou microfone.

Vetor técnico e entrega

Jamf analisou scripts chamados macpatch.sh e arquivos JavaScript nos sites fraudulentos que montam e executam comandos curl para baixar um shell script inicial. Esse script detecta a arquitetura do mac (ARM64 vs Intel), baixa o payload adequado e cria diretórios temporários para a execução.

Persistência e capacidades pós‑infeção

  • Persistência via LaunchAgents que garantem execução no login.
  • Criação de uma aplicação‑isca que simula prompts do Chrome (ex.: acesso à câmera) para capturar credenciais inseridas pelo usuário; esses dados são enviados para uma conta Dropbox controlada pelos atacantes.
  • Um componente escrito em Golang atua como backdoor, comunicando‑se com um servidor de comando e controlo e oferecendo coleta de informações do sistema, upload/download de arquivos, execução de comandos e roubo de perfis do Chrome.

Contexto e atribuição

As publicações técnicas conectam essa variante à campanha Contagious Interview, atribuída a operadores da Coreia do Norte. A investigação da Jamf fornece indicadores de técnicas (execução via curl, scripts que detectam arquitetura, uso de Dropbox para exfiltração) mas não detalha contagens de vítimas.

Mitigações práticas

  • Treinar colaboradores para nunca executar comandos no Terminal baseados em instruções vindas de sites de recrutamento ou por e‑mail; tratar qualquer pedido assim como suspeito.
  • Bloquear downloads não autorizados e restringir execução de scripts por usuários sem privilégio.
  • Monitorar LaunchAgents, conexões de saída suspeitas e contas de terceiros (ex.: Dropbox) recebendo uploads inesperados.
  • Investigar eventos onde usuários reportem prompts para executar comandos e realizar varredura forense local se houver suspeita.

As fontes disponíveis descrevem o fluxo de ataque, a técnica de isca e as capacidades do backdoor, mas não quantificam o alcance da campanha. Organizações com equipes de recrutamento digitais devem reforçar políticas e revisar quaisquer processos que exijam que candidatos executem comandos em suas máquinas.

Baseado em publicação original de Cyber Security News
Tags: #macos #social-engineering #malware #flexibleferret #jamf #recrutamento #launchagents #dropbox #backdoor
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar