Les hackers nord-coréens ne lâchent rien. Une nouvelle variante de malware, baptisée FlexibleFerret, a été repérée sur macOS. Elle fait partie de la campagne Contagious Interview, une opération qui a pour but d’infecter des victimes via de faux entretiens d’embauche. Le pire ? Alors qu’Apple a récemment mis à jour son outil de protection XProtect pour bloquer certaines variantes, FlexibleFerret, lui, passe encore entre les mailles du filet.
Comment les hackers piègent leurs victimes
Tout commence par une approche bien rodée : les attaquants se font passer pour des recruteurs et contactent leurs cibles, souvent des développeurs ou des professionnels de la tech. Lors de l’échange, ils envoient un lien vers un faux outil de visioconférence, comme VCam ou CameraAccess, en expliquant qu’il est nécessaire pour l’entretien. Une fois téléchargé, ce soi-disant logiciel installe en réalité un malware qui s’infiltre discrètement dans le système.
Autre méthode utilisée : GitHub. Les hackers y publient de fausses issues (problèmes signalés sur des projets open source) en intégrant des liens vers des fichiers infectés. Un développeur peu méfiant qui cherche à résoudre un bug peut ainsi se faire piéger en téléchargeant un script vérolé.
Visuel : SentinelLabs
Une fausse mise à jour Zoom pour mieux passer inaperçu
FlexibleFerret se cache dans un faux programme d’installation macOS appelé versus.pkg. Ce package contient plusieurs fichiers malveillants, dont InstallerAlert.app, versus.app, et un exécutable nommé zoom (qui n’a rien à voir avec l’application légitime). Une fois lancé, il exécute un script qui installe un backdoor dans le système, permettant aux hackers d’y revenir à tout moment. Il crée aussi un fichier de persistance nommé com.zoom.plist, qui assure que le malware redémarre automatiquement avec l’ordinateur. Enfin, il envoie des données vers un serveur distant en utilisant des services comme Dropbox pour l’exfiltration. Pour éviter d’éveiller les soupçons, le malware affiche un faux message d’erreur affirmant que l’installation a échoué, alors qu’en réalité, il tourne déjà en arrière-plan.
Apple réagit, mais ça ne suffit pas
Apple a bien bloqué certaines versions de Ferret via XProtect, mais FlexibleFerret reste indétecté pour l’instant. Les chercheurs en cybersécurité ont noté qu’il avait été signé avec un certificat Apple Developer légitime (depuis révoqué), ce qui lui a permis de contourner les protections habituelles.
Comment éviter de se faire avoir ?
Il est essentiel de ne jamais télécharger un logiciel suggéré par un inconnu, surtout dans un cadre professionnel. Vérifiez toujours l’origine des fichiers avant d’installer quoi que ce soit sur votre Mac. Méfiez-vous aussi des offres trop belles pour être vraies, en particulier celles qui insistent pour utiliser un outil spécifique. Bref, prudence. Parce que les hackers nord-coréens, eux, ne lâchent rien.
