Une nouvelle campagne de phishing cible les utilisateurs de Mac en se faisant passer pour de faux recruteurs sur LinkedIn. Sous prétexte de passer un entretien vidéo, les victimes sont incitées à installer un outil présenté comme indispensable… qui s’avère être un malware.
Le piège mis en place par les cybercriminels
Une nouvelle campagne de phishing / malware circule actuellement sur LinkedIn et cible les utilisateurs de macOS via de fausses offres d’emploi. Les candidats qui répondent reçoivent des propositions d’entretien, sont dirigés vers un faux site d’embauche, et sont invités à passer un entretien vidéo. Tout semble légitime jusqu’à ce que l’évaluation demande une « mise à jour » vidéo. Selon les équipes de recherche de Jamf Threat Labs, le site affiche un message d’erreur : la webcam ou le micro ne fonctionneraient pas. Pour débloquer la situation, l’utilisateur est invité à télécharger une mise à jour d’un composant (souvent présenté comme FFmpeg). En réalité, l’installation dissimule un malware persistant, de la famille FlexibleFerret. Concrètement, la victime est invitée à copier-coller une commande dans le Terminal macOS — par exemple un curl — censée « réparer » l’accès à la caméra. Ce script télécharge un morceau de code malveillant, installe une porte dérobée, et donne aux attaquants un accès complet à la machine.
Le malware FlexibleFerret installe un backdoor qui peut collecter des informations système, télécharger ou envoyer des fichiers, exécuter des commandes shell, et même voler les données de navigation ou les mots de passe stockés dans le navigateur (par exemple le profil Chrome).
Les attaquants peuvent dès lors exfiltrer des données sensibles (identifiants, documents, historiques) ou utiliser la machine pour pivoter vers d’autres cibles, poser des portes dérobées, installer d’autres malwares.
L’installation reste persistante : un agent se charge automatiquement à chaque redémarrage de l'ordinateur, ce qui assure aux attaquants un accès durable et discret.
Le scénario paraît crédible (recrutement, entretien vidéo), ce qui rend la vigilance d’autant plus difficile. Beaucoup d’utilisateurs ne soupçonnent pas une attaque.
C'est ainsi qu'un Mac aussi facilement infecté devient un système compromis, contrôlable à distance, espionné, et joue potentiellement le rôle de point d’entrée vers d’autres systèmes ou réseaux.
Comment se prémunir face à cette menace ?
Pour réduire les risques, voici les bonnes pratiques recommandées :
Ne jamais exécuter un code ou une commande fournie par un site ou recruteur non vérifié. Si un formulaire d’entretien ou un site d’entreprise propose un curl ou un script à lancer, c’est très probablement une arnaque.
Vérifier l’URL, l’entreprise, et le contexte de l’offre d’emploi. Méfiez-vous des offres trop soudaines, des recruteurs inconnus, ou des entreprises sans trace crédible. Contactez directement l’entreprise si possible.
Maintenir macOS et tous les logiciels à jour, y compris les correctifs de sécurité, ce qui peut bloquer certains malwares connus.
Former et sensibiliser les utilisateurs (amis, collègues, étudiants…) : toute demande d’installation ou mise à jour non sollicitée, surtout en contexte « entretien » ou « recrutement », doit être prise avec grande méfiance.
Utiliser une solution antivirus / anti-malware capable de protéger en temps réel, idéalement avec un composant « web protection » (bloquant les sites malveillants et les scripts suspects).
Le réflexe cyber sécurité
Les Mac ne sont pas à l'abri des virus et du phishing. Ne prenez pas de risques avec vos fichiers et vos données personnelles, utilisez un logiciel de sécurité.
Pour vous aider à choisir votre logiciel de sécurité, consultez nos dossiers sur le sujet des antivirus pour le Mac et celui pour l'iPhone. Ces articles sont constamment mis à jour et relayent les dernières promotions.
