Une campagne malveillante se propage actuellement sur LinkedIn, exploitant des faux entretiens pour infecter les ordinateurs Mac. Derrière une mise à jour trompeuse se cache un malware sophistiqué capable de prendre le contrôle de votre appareil. Découvrez comment cette menace opère et comment vous en protéger.
L’essentiel à retenir
- Une campagne de faux entretiens sur LinkedIn cible les utilisateurs de Mac pour installer un malware.
- Le malware utilise une fausse mise à jour de FFmpeg pour déployer une backdoor appelée Flexible Ferret.
- Les victimes sont incitées à exécuter des commandes dans le Terminal, exposant leurs appareils à des risques élevés.
Le fonctionnement de la campagne malveillante sur LinkedIn
Les chercheurs de Jamf Threat Labs ont récemment mis en lumière une attaque qui exploite LinkedIn pour piéger les chercheurs d’emploi. Les victimes potentielles sont dirigées vers un faux espace d’entretien où un message d’erreur concernant l’accès à la webcam les incite à installer une mise à jour de FFmpeg. Cette mise à jour, qui semble légitime, permet en réalité l’installation d’une backdoor baptisée Flexible Ferret.
Une fois la mise à jour installée, Flexible Ferret prend le contrôle à distance de l’ordinateur, ouvrant la porte à l’exfiltration d’informations sensibles telles que les identifiants de session. Le processus est rendu possible par une méthode d’attaque connue sous le nom de ClickFix, qui exploite la manipulation manuelle par l’utilisateur pour contourner les protections de macOS.
Les étapes de l’attaque sur macOS
L’attaque commence par l’affichage d’un message d’erreur sur la page d’entretien, demandant à l’utilisateur de copier-coller une commande dans le Terminal pour « résoudre » le problème. Cette commande télécharge le code malveillant nécessaire pour installer la backdoor et configure son lancement à chaque redémarrage du système.
Par la suite, la victime est incitée à autoriser l’accès à la webcam en validant une fausse pop-up de navigateur, puis à confirmer le mot de passe macOS. Les identifiants saisis sont envoyés vers un espace Dropbox contrôlé par les attaquants, camouflant ainsi l’exfiltration dans un flux de données apparemment légitime.
Les précautions à prendre face à cette menace
Bien que les entretiens vidéo et les tests de compétences en ligne soient devenus monnaie courante, il est indispensable de rester vigilant face aux demandes inhabituelles. Si l’on vous demande de copier-coller une commande dans le Terminal ou d’installer un logiciel depuis une source inconnue, cela doit éveiller votre méfiance.
Assurez-vous que l’entretien se déroule sur le domaine officiel de l’entreprise et que l’offre d’emploi est bien réelle, confirmée par des sources fiables. Vérifiez également que le recruteur est bien affilié à une société existante.
Historique de LinkedIn et des menaces en ligne
LinkedIn, propriété de Microsoft depuis 2016, est une plateforme professionnelle majeure, utilisée par des millions de personnes pour le réseautage et la recherche d’emploi. Toutefois, sa popularité en fait également une cible de choix pour les cybercriminels. Au fil des années, LinkedIn a été confronté à plusieurs incidents de sécurité, notamment des campagnes de phishing et des fuites de données. La vigilance des utilisateurs est donc essentielle pour se prémunir contre ces menaces.