Onderzoekers hebben een aanval ontdekt waarbij Mac-gebruikers worden verleid tot het installeren van een zogenaamde update voor de software FFmpeg, die in werkelijkheid een backdoor is. Bij de aanval doen aanvallers zich voor als recruiter en benaderen mensen op LinkedIn. Slachtoffers wordt gevraagd of ze op een interessante functie willen solliciteren. Hiervoor moeten ze zelf een video-introductie opnemen en via een speciale site uploaden.
De website waar slachtoffers door de aanvallers naar worden verwezen vraagt eerst om een "job assessment" in te vullen. Daarna moet de video-introductie worden opgenomen. De website laat dan weten dat toegang tot de camera of microfoon is geblokkeerd. Om het probleem met de toegang op te lossen moet het slachtoffer een "update" voor FFmpeg downloaden, software die allerlei mediabestanden kan verwerken, zo laat softwarebedrijf Jamf weten.
Om de zogenaamde update te downloaden moeten slachtoffers een curl-commando in hun Terminal uitvoeren. Dit commando downloadt een script dat uiteindelijk een backdoor installeert. Daarnaast wordt ook een "decoy" applicatie gedownload die een venster laat zien dat van Chrome afkomstig lijkt en meldt dat Chrome toegang tot de camera wil. Vervolgens verschijnt er een venster dat om het wachtwoord van de gebruiker vraagt. Wat het slachtoffer hier invoert wordt naar een Dropbox-account van de aanvallers gestuurd.
Organisaties worden opgeroepen om hun medewerkers te waarschuwen voor de risico van ongevraagde "sollicitatie" assessments en Terminal-gebaseerde instructies om "problemen" op te lossen.
