Une campagne de faux recrutements circule en ce moment sur LinkedIn et détourne de prétendus entretiens vidéo pour pousser des candidates et des candidats à installer un une fausse mise à jour FFmpeg et déployer un malware persistant.
Les équipes de Jamf Threat Labs viennent d’alerter sur une campagne malveillant exploitant LinkedIn pour rediriger des profils en recherche de poste vers un faux espace d’entretien, et infecter les systèmes macOS. Le parcours ressemble à ce que beaucoup connaissent déjà, impliquant un test chronométré suivi d’une courte vidéo de présentation. C’est au moment d’enregistrer cette séquence que le piège se referme, le site affichant un message d’erreur sur l’accès à la webcam et proposant une mise à jour FFmpeg censée régler le problème. En réalité, ce téléchargement sert à déployer une backdoor baptisée Flexible Ferret, permettant aux attaquants de prendre le contrôle du Mac à distance et d’exfiltrer les identifiants de session.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
De l’entretien au vol d’identifiant, il n’y a qu’une commande
Dans le détail, Jamf décrit une chaîne d’attaque assez directe. Une fois le message d’erreur affiché, la page d’entretien génère une commande prête à l’emploi et demande à la victime de la copier-coller dans le Terminal pour « résoudre » le problème. Un procédé typique des campagnes ClickFix très actives ces derniers mois, qui misent sur une action manuelle de l’utilisateur ou de l’utilisatrice pour court-circuiter les protections intégrées à macOS.
Une fois cette commande exécutée, le code téléchargé installe automatiquement les fichiers nécessaires au déploiement de la porte dérobée et configure leur relance à chaque redémarrage de l’ordinateur. Si la victime poursuit l’entretien, le malware déclenche alors l’affichage d’une fausse pop-up de navigateur qui réclame l’autorisation d’accéder à la webcam, puis la confirmation du mot de passe macOS sous prétexte de valider cette permission. Les identifiants saisis sont ensuite envoyés vers un espace Dropbox contrôlé par l’attaquant, en passant par l’API officielle du service, ce qui rend l’exfiltration difficile à distinguer d’un usage normal du cloud.
Pendant ce temps, la porte dérobée est déjà opérationnelle. Elle établit une connexion avec un serveur distant configuré par les opérateurs et peut servir à collecter des informations sur la machine, manipuler des fichiers, injecter d’autres charges utiles, lancer des programmes ou encore extraire des données liées au navigateur.
Une campagne qui touche aussi Windows
Si cette campagne vise d'abord les Mac, Malewarebytes a profité des observations de Jamf pour rappeler que les mêmes faux entretiens circulaient également auprès des utilisateurs et utilisatrices Windows, la différence résidant dans la charge utile délivrée à l'arrivée, InvisibleFerret, spécialisée dans la collecte d’identifiants.
Évidemment, échanger directement avec un profil de recruteur, passer un test de compétences ou autoriser la webcam pendant un entretien n’a rien d’inhabituel. Mais c’est justement parce que tout cela paraît banal qu’il faut rester attentif aux demandes qui sortent du cadre habituel. Une alerte système qui réclame l’accès caméra ne pose pas de problème en soi. En revanche, si la « solution » proposée consiste à copier-coller une commande dans le terminal, installer un module téléchargé depuis un site tiers ou intervenir manuellement sur des réglages qui relèvent normalement du système lui-même, vous avez toutes les raisons de vous méfier.
Au moindre doute, pensez à vérifier que l’adresse du site sur lequel se déroule l’entretien correspond bien au domaine officiel de l’entreprise, que l’offre existe ailleurs que dans vos messages privés et que le recruteur fait bien partie des effectifs d’une société existante.
Sources : Jamf Threat Labs, Malewarebytes
