ينجح مجرمو الإنترنت حاليًا في استهداف مستخدمي أجهزة آبل عبر مخطط الهندسة الاجتماعية المتطور الذي يخدع الضحايا لتشغيل أوامر ضارة على أجهزتهم. يُطلق على هذا التهديد اسم FlexibleFerret، ويعتقد أنه مرتبط بعناصر موالية لكوريا الشمالية، ويمثل تطورًا مستمرًا لحملة Contagious Interview النشطة طوال عام 2025.
تدور آلية انتشار البرمجيات الخبيثة بشكل أساسي حول مواقع التوظيف الوهمية التي تعد بفرص عمل، ولكنها في النهاية تسلم أبوابًا خلفية لسرقة بيانات الاعتماد والوصول إلى الأنظمة للمهاجمين.
الاحتيال عبر مواقع التوظيف الوهمية
تبدأ الهجمات بشكل غير مؤذٍ، حيث يقوم باحثو العمل بزيارة مواقع تقييم الوظائف التي تبدو حقيقية، مثل evaluza.com و proficiencycert.com. يقوم الضحايا بإكمال تقييمات وظيفية وهمية تحمل أسماء مثل “تقييم مدير عمليات رأس المال في البلوك تشين” ، ويقدمون تفاصيل شخصية، بل ويسجلون مقدمات فيديو.
بعد الانتهاء من هذه المراحل، يتلقى المتقدمون تعليمات حاسمة لتشغيل أمر معين في Terminal، وهو ما يدعي المهاجمون أنه ضروري لإصلاح مشكلات الوصول إلى الكاميرا أو الميكروفون.
اكتشف محللو أمن Jamf هذا المتغير الجديد بعد اكتشاف اكتشافات في البرية مرتبطة بالبرنامج النصي المسمى macpatch.sh. ووجد الباحثون ملفات JavaScript على مواقع التوظيف الاحتيالية المصممة لبناء وتنفيذ أوامر curl التي تقوم بتنزيل حمولات ضارة مباشرة إلى أجهزة الضحايا.
آلية العدوى بـ FlexibleFerret
تستخدم آلية العدوى عملية تسليم متعددة المراحل تظل مخفية عن المستخدمين. عندما يتم تنفيذ أمر curl الأولي، يقوم بتنزيل برنامج نصي shell يحدد ما إذا كان جهاز Mac الخاص بالضحية يستخدم بنية ARM64 أو Intel، ثم يقوم بجلب حمولة المرحلة الثانية المناسبة.
يقوم البرنامج النصي بإنشاء أدلة عمل في مواقع مؤقتة، ويؤسس المثابرة من خلال LaunchAgents التي تقوم بتشغيل البرمجيات الخبيثة تلقائيًا عند تسجيل الدخول، ويعرض تطبيق Chrome وهمي مقنع يحاكي مطالبة كلمة مرور شرعية.
سرقة بيانات الاعتماد والوصول المستمر
يلتقط هذا التطبيق الوهمي أي بيانات اعتماد يدخلها المستخدمون ويرسلها إلى حساب Dropbox يتحكم فيه المهاجمون. يتم تنشيط المرحلة الثالثة عند تشغيل باب خلفي Golang مجمع، مما يؤسس الاتصال بخادم القيادة والتحكم.
يدعم هذا المكون المتطور عمليات متعددة بما في ذلك جمع معلومات النظام، وقدرات تحميل وتنزيل الملفات، وتنفيذ الأوامر، وسرقة ملف تعريف Chrome، والحصاد الآلي لبيانات الاعتماد. يحتفظ الباب الخلفي بالمثابرة من خلال إدخالات LaunchAgent ويتضمن آليات معالجة الأخطاء التي تعيد ضبط البرمجيات الخبيثة في حالة حدوث فشل مؤقت.
يجب على المؤسسات تثقيف الموظفين للنظر بعين الشك الشديد إلى طلبات تقييم الوظائف غير المرغوب فيها وتعليمات إصلاح Terminal. أي اتصال توظيف يطلب من المستخدمين تنفيذ أوامر النظام يمثل علامة حمراء كبيرة ويجب الإبلاغ عنه فورًا إلى فرق الأمن.