LinkedIn est actuellement le théâtre d’une campagne malveillante de faux entretiens qui cible les utilisateurs de Mac. Cette arnaque utilise des prétextes de mise à jour pour pousser les candidats à installer des logiciels malveillants, compromettant ainsi la sécurité de leur système. Découvrez comment cette attaque se déroule et les mesures à prendre pour vous protéger.
Résumé en 3 points
- Des faux entretiens sur LinkedIn redirigent les candidats vers des mises à jour trompeuses pour infecter les Mac avec un malware.
- Le logiciel malveillant, nommé Flexible Ferret, permet aux attaquants de prendre le contrôle du système et d’exfiltrer des données.
- Ces méthodes ciblent principalement les utilisateurs de macOS, mais des variantes touchent également les utilisateurs de Windows.
Le mécanisme de l’arnaque sur LinkedIn
Les équipes de Jamf Threat Labs ont identifié une campagne sophistiquée qui exploite LinkedIn pour attirer les chercheurs d’emploi vers des faux entretiens vidéo. Ces faux entretiens imitent des processus de recrutement légitimes, incluant des tests chronométrés et des présentations vidéo. C’est lors de la tentative d’enregistrement de la vidéo que le piège se referme.
Un message d’erreur prétendument lié à l’accès à la webcam est affiché, incitant les utilisateurs à télécharger une mise à jour de FFmpeg. Cette mise à jour est en réalité un prétexte pour installer une backdoor appelée Flexible Ferret, permettant aux cybercriminels de prendre le contrôle du Mac à distance.
Impact du malware sur macOS
Une fois la fausse mise à jour installée, le malware configure une connexion avec un serveur distant. Il peut ensuite manipuler les fichiers du système, lancer des programmes malveillants supplémentaires ou exfiltrer des informations sensibles, comme les identifiants de session. Le processus de commande, demandé par la fausse page d’entretien, est une technique courante dans les campagnes ClickFix, qui exploitent l’interaction utilisateur pour contourner les protections macOS.
Le malware peut également afficher des fenêtres pop-up trompeuses qui demandent l’accès à la webcam et exigent la saisie du mot de passe macOS. Les informations ainsi collectées sont envoyées à un espace Dropbox contrôlé par les attaquants, en utilisant l’API officielle, ce qui rend la détection de l’exfiltration complexe.
Variantes et précautions pour les utilisateurs
Bien que la campagne cible principalement les Mac, Malwarebytes a noté que des variantes de cette arnaque circulent également chez les utilisateurs Windows. La charge utile, appelée InvisibleFerret dans ce cas, se spécialise dans la collecte d’identifiants.
Les utilisateurs doivent rester vigilants face à ce type d’attaques. Il est recommandé de vérifier l’authenticité des offres d’emploi et des recruteurs en s’assurant que les domaines des sites web sont légitimes. Toute demande de copier-coller des commandes dans le terminal ou d’installer des modules tiers doit être considérée avec suspicion.
Contexte : LinkedIn et la sécurité en ligne
LinkedIn, fondé en 2002, est devenu un réseau professionnel incontournable avec des millions de membres à travers le monde. Cependant, sa popularité en fait également une cible de choix pour les cybercriminels. Les attaques par ingénierie sociale, utilisant des méthodes convaincantes pour tromper les utilisateurs, sont de plus en plus courantes sur cette plateforme.
Bien que LinkedIn déploie des efforts pour sécuriser ses services, les utilisateurs doivent être proactifs pour se protéger des menaces en ligne. Cela inclut la vérification des offres d’emploi, la protection des informations personnelles et la sensibilisation aux techniques d’escroquerie en évolution. En restant informés et prudents, les utilisateurs peuvent réduire les risques de compromission de leur sécurité numérique.