Hakerzy z Korei Północnej atakują komputery Mac. Tym razem cyberprzestępcy podają się za rekruterów i zachęcają do pobrania oraz zainstalowania oprogramowania, które z czasem okazuje się być złośliwe. Apple ruszyło z odsieczą, ale niektóre zagrożenia nadal się przedostają.
Ataki na komputery Mac wprost z Korei Północnej
Badacze z SentinelLabs znaleźli nowe sposoby północnokoreańskich hakerów – określanych mianem „FlexibleFerret” – na włamanie się do komputerów Mac. Apple już zareagowało i ogranicza złośliwe oprogramowanie za pomocą aktualizacji XProtect. Niestety nie wszystkie zagrożenia udało się zablokować.
„FlexibleFerret” atakuje właścicieli komputerów z systemem macOS. Hakerzy publikują oferty pracy, a następnie podszywają się pod rekruterów. Osoba rekrutująca się na stanowisko w trakcie rozmowy z rekruterem otrzymuje komunikat o błędzie oraz zachętę do pobrania i zainstalowania programu, np. VCam czy CameraAccess. W rzeczywistości na komputerze ląduje paczka złośliwych elementów, takich jak InstallerAlert.app, versus.app czy plik „zoom”. Po włączeniu oprogramowania na Macu zostaje zainstalowany agent, który za pośrednictwem usługi Dropbox udziela hakerom dostępu np. do poufnych danych o użytkowniku. Sposób ten należy do kampanii określanej „Contagious Interview”.
Nowe metody to kolejny etap północnokoreańskich ataków, które wykryto w grudniu 2024 roku i w styczniu 2025 roku. Wtedy hakerzy zachęcali ofiary do zaktualizowania Google Chrome lub Zoom.
Odpowiedź Apple na północnokoreańskie ataki hakerskie
Firma Apple, chcąc odeprzeć ataki cyberprzestępców na użytkowników komputerów Mac, zaktualizowała XProtect, blokując kilka wariantów, takich jak FROSTYFERRET_UI, FRIENDLYFERRET_SECD i MULTI_FROSTYFERRET_CMDCODES.
XProtect jest wbudowanym w system macOS i działającym w tle (jako część systemu, a nie jako program antywirusowy) narzędziem, które służy do automatycznego wykrywania i blokowania złośliwego oprogramowania. Najnowsza aktualizacja pozwoliła zablokować tylko część plików, jednak niektóre nadal mogą pozostawać w systemie. Ważne więc, by mieć się na baczności i unikać instalowania programów z niepewnych źródeł lub za pośrednictwem komunikatów wyświetlanych na ekranie komputera. Warto także zaopatrzyć się w dodatkowe zabezpieczenia antywirusowe.
Portal AppleInsider podaje, że operacja była dobrze finansowana i wspierana przez Koreę Północną.
