Uma atividade cibercriminosa já tradicional e perigosa foi novamente identificada, agora em uma variante que tenta atrair ainda mais vítimas. A ameaça foi chamada de FlexibleFerret e mira em especial usuários de dispositivos com macOS, em especial programadores em busca de trabalho ou de colaborar com a comunidade.
Detalhes do golpe foram publicados pelo blog SentinelOne e em um fio na rede social X, o antigo Twitter. Os responsáveis pelo malware seriam hackers ligados ou financiados pelo governo da Coreia do Norte que já têm experiência nessa metodologia de infecção, embora nenhum grupo tenha reivindicado a autoria até o momento.
O malware em questão é uma variante sofisticada de ameaças anteriores já neutralizadas pela Apple e as primeiras aplicações dele datam do fim de 2023. Devidamente instalado no sistema da vítima, ele é capaz de executar comandos remotamente, roubar credenciais de acesso e esvaziar carteiras de criptomoedas.
Como o golpe funciona
Os cibercriminosos atraem vítimas em potencial principalmente a partir da rede social corporativa LinkedIn, pesquisando por programadores das mais diversas áreas e especialidades. O grupo cria perfis fraudulentos de recrutadores, que falsificam a identidade de funcionários de grandes empresas de tecnologia.
Essas contas falsas abordam quem está em busca de emprego ou já posicionado, mas com potencial de crescer na carreira. Nas primeiras mensagens, tudo parece correr normalmente na oferta da vaga e a pessoa é convidada a participar de um processo seletivo em um site.
How it works / what we've seen:
Usually starts with a "recruiter" from known company e.g. Kraken, MEXC, Gemini, Meta.
Pay ranges + messaging style are attractive—even to those not actively job hunting.
Mostly via Linkedin. Also freelancer sites, job sites, tg, discord, etc. pic.twitter.com/vRwJUoKFlB
— Tay ?? (@tayvano_) December 28, 2024
A página em questão não é verídica, mas tem uma interface intuitiva e é bem construída, simulando uma plataforma de emprego. Após responder a uma série de perguntas, o alvo é levado a gravar um vídeo para passar por uma nova etapa da entrevista.
É neste momento que o golpe entra em ação: se você usa o Google Chrome como navegador, a página gera uma falsa mensagem de erro no uso da webcam e recomenda que você siga determinados passos para corrigir o problema, incluindo o download de uma suposta atualização — que na verdade é o FlexibleFerret ganhando permissão para se infiltrar na sua máquina.
?? Heads up all—some dudes have a slick, new way of dropping some nasty malware.
Feels infostealer-y on the surface but...its not.??
It'll really, deeply rekt you.
Pls share this w/ your friends, devs, and multisig signers. Everyone needs to be careful + stay skeptical. ?? pic.twitter.com/KRRWGL3GDo
— Tay ?? (@tayvano_) December 28, 2024
Ainda de acordo com o SentinelOne, os mesmos cibercriminosos também estão atraindo desenvolvedores pelo GitHub, criando falsos tópicos em repositórios legítimos com dúvidas também para levar o usuário a instalar o malware.
