FlexibleFerret: бэкдор через фальшивые вакансии и обход macOS Gatekeeper

FlexibleFerret — семейство вредоносного ПО, приписываемое операторам, связанным с Северной Кореей. Злоумышленники внедряют его в рамках убедительной схемы подбора персонала, ориентированной на отдельных кандидатов: жертвы привлекаются поддельными процессами найма и обманным путем вынуждаются выполнять команды в терминале, что приводит к компрометации учетных данных и утечке конфиденциальной информации.

Ключевая схема атаки

Атака начинается с создания обманчивых сайтов по подбору персонала, например, evaluza.com, где потенциальным кандидатам предлагают пройти «оценку» для поступления на работу. Под видом легитимного процесса от соискателей обычно требуют:

• загрузить личные видеоролики;
• предоставить подробную персональную информацию;
• запустить предоставленное «приложение-оценщик», имитирующее запросы браузера — в том числе запросы на доступ к камере и ввод учетных данных.

После ввода данных и выполнения команд они собираются и отправляются на аккаунт Dropbox, контролируемый злоумышленниками. Таким образом атакующие получают как материалы (видео, документы), так и учетные данные жертвы.

Техническая реализация вредоносного ПО

Вредонос реализован как проект на Golang под названием CDrivers, выполняющий роль Backdoor. Ключевые особенности реализации:

• бэкдор запускает постоянный цикл обработки команд, называемый StartFirst5179Iter;
• в цикле он вызывает обработчики для текущего типа команды, формирует исходящие сообщения с идентификатором машины и подготавливает данные для обмена с сервером команд и контроля (C2) через функцию Htxp_Exchange;
• бэкдор обрабатывает ответы от C2 для декодирования следующей команды, что поддерживает адаптивный цикл, реагирующий на ввод злоумышленника;
• механизм обработки ошибок: при сбое выполнения команды тип команды сбрасывается на «безвредный» запрос системной информации, и процесс уходит в спящий режим на пять минут, что обеспечивает устойчивость работы даже при временных сбоях.

«FlexibleFerret является примером того, как можно использовать убедительные схемы подбора персонала для обхода существующих мер безопасности»

Почему это особенно опасно

• Методы социальной инженерии (ложные оценки вакансий, просьбы о запуске команд) эксплуатируют доверие соискателей и человеческую неопытность.
• Использование легитимно выглядящих сайтов и сервисов (например, Dropbox) затрудняет оперативное обнаружение компрометации.
• FlexibleFerret демонстрирует способность обходить защитные механизмы, в частности Gatekeeper в macOS, когда жертва добровольно запускает приложение или выполняет команды.
• Постоянный цикл обработки команд и устойчивый механизм восстановления после ошибок увеличивают жизнеспособность бэкдора в целевой системе.

Рекомендации для организаций и пользователей

• Относитесь с подозрением к непрошеным «оценкам» вакансий и веб-сайтам найма, особенно если они требуют загрузки видео, личных данных или выполнения команд в терминале.
• Никогда не вводите учетные данные в непроверенных приложениях и не предоставляйте доступ к камере/микрофону без подтверждения легитимности сервиса.
• Обучайте сотрудников признакам социальной инженерии: проверка домена, подтверждение вакансии через официальные корпоративные каналы, использование многофакторной аутентификации.
• Настройте контроль исходящего трафика и мониторинг доступа к облачным хранилищам (Dropbox и др.) для выявления несанкционированных передач данных.
• Сообщайте об подозрительных запросах и инцидентах безопасности — своевременное информирование помогает снизить распространение подобных схем.

FlexibleFerret демонстрирует, что атакующие все чаще комбинируют технические бэкдоры и убедительные схемы социальной инженерии. В таких условиях внимание к осведомленности пользователей и оперативное реагирование на подозрительные рекрутинговые практики становятся критически важными для снижения рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.