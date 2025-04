Aanvallers proberen Mac-gebruikers die een baan zoeken via een malafide curl-commando met malware te infecteren, zo laat securitybedrijf Sekoia weten. Het gaat om een variant van de ClickFix-tactiek die aanvallers bij Windowsgebruikers toepassen. Bij ClickFix proberen aanvallers slachtoffers een malafide PowerShell-commando te laten uitvoeren, zogenaamd als onderdeel van een captcha of andere reden, wat tot een malware-infectie leidt.

Sekoia meldt dat ook macOS-gebruikers doelwit van soortgelijke aanvallen zijn. De aanvallers hebben het voorzien op personen die in cryptovalutasector werkzaam zijn en een nieuwe baan zoeken. Doelwitten worden eerst via social media door een zogenaamde recruiter benaderd. Deze recruiter zegt dat het doelwit zeer geschikt is voor een openstaande vacature bij bijvoorbeeld Coinbase, Kraken of ander cryptobedrijf. Vervolgens wordt er gelinkt naar een zogenaamde sollicitatiewebsite.

Op deze website moet het doelwit een contactformulier invullen, drie vragen over cryptovaluta beantwoorden, een introductievideo opnemen en zich voorbereiden op het sollicitatiegesprek. Zodra de gebruiker een introductievideo wil opnemen verschijnt er een 'foutmelding' dat de toegang tot de microfoon of camera is geblokkeerd. Om dit probleem te verhelpen moeten gebruikers volgens de melding de 'FFMPEG drivers voor macOS' updaten. Dit kan door een Terminal te openen en het opgegeven curl-commando te kopiëren en daarna uit te voeren.

In werkelijkheid wordt er via dit commando een zip-bestand gedownload dat tot de installatie van de 'FrostyFerret stealer' leidt. Deze malware toont een zogenaamd systeemvenster dat van macOS afkomstig lijkt en stelt dat Chrome toegang tot de camera of microfoon nodig heeft, gevolgd door een prompt die om het systeemwachtwoord vraagt. Het ingevoerde wachtwoord wordt vervolgens naar de aanvallers gestuurd, die het waarschijnlijk gebruiken om toegang tot de keychain van de gebruiker te krijgen, aldus de onderzoekers. Ook wordt er een op programmeertaal Go gebaseerde backdoor geïnstalleerd. Hieronder een screenshot van de Windowsversie van de instructies die doelwitten krijgen.