Source: Jamf Threat Labs (blog Jamf). Contexte: poursuite de la campagne « Contagious Interview » attribuée à des opérateurs alignés DPRK et déjà signalée par SentinelOne et Validin, avec de nouveaux leurres et une chaîne d’infection remaniée ciblant macOS.

• Social engineering (phase 1) 🎣: des sites de faux recrutements comme evaluza[.]com et proficiencycert[.]com guident les victimes à travers un « hiring assessment » puis leur demandent d’exécuter une commande Terminal prétendument nécessaire pour débloquer caméra/micro. Le JavaScript assemble une commande curl qui télécharge un chargeur vers /var/tmp/macpatch.sh, le rend exécutable et l’exécute en arrière‑plan.

• Charge utile (phase 2) : en fonction de l’architecture détectée via uname -m, le script récupère un artefact depuis app.zynoracreative.com (archives drv-Arm64.patch ou drv-Intel.patch), l’extrait dans /var/tmp/CDrivers et met en place la persistance via un LaunchAgent (~/Library/LaunchAgents/com.driver9990as7tpatch.plist). Un leurre MediaPatcher.app (ad‑hoc signed) affiche un faux prompt d’accès caméra puis un faux prompt de mot de passe Chrome, capture les entrées et les exfiltre via l’API Dropbox (content.dropboxapi.com/2/files/upload). Le malware récupère l’IP publique via api.ipify.org et construit l’hôte d’exfiltration par concaténation de fragments de chaînes.

• Backdoor (phase 3) : le dossier extrait contient un projet Go malveillant « CDrivers ». Le script drivfixer.sh lance driv.go avec un runtime Go embarqué. À l’exécution, un identifiant machine (4 octets) est stocké dans $TMPDIR/.host, puis le backdoor contacte le C2 codé en dur hxxp://95.169.180.140:8080 et entre dans une boucle de commande. Les commandes supportées incluent notamment: collecte d’infos système (qwer), upload d’archives depuis le C2 (asdf), download de fichiers (zxcv), exécution de commandes OS (vbcx), modes de vol automatisé (r4ys), collecte de métadonnées et données Chrome (profils/extensions, kyci pour DB Login Data et fichier de trousseau), ping/sommeil (ghdj) et terminaison (dghh), avec gestion des erreurs pour résilience.

• IoCs (extraits) :

  • Domaines/URLs: evaluza[.]com ; proficiencycert[.]com ; hxxps://app.zynoracreative.com/updrv8/drvMac-as7t.patch ; …/drv-Arm64.patch ; …/drv-Intel.patch ; content.dropboxapi.com ; api.ipify.org
  • C2: hxxp://95.169.180.140:8080
  • Fichiers/chemins: /var/tmp/macpatch.sh ; /var/tmp/CDrivers.zip ; /var/tmp/CDrivers ; drivfixer.sh ; MediaPatcher.app ; ~/Library/LaunchAgents/com.driver9990as7tpatch.plist
  • Leurres: « Blockchain Capital Operations Manager Hiring Assessment » sous proficiencycert[.]com/apply/o5s3x9e7i4w1mwie3h6j3ygf

• TTPs observées : ingénierie sociale via faux recrutements, exécution guidée de commandes Terminal (bypass des contrôles usuels), staging multi‑étapes via scripts shell, détection d’architecture, persistance LaunchAgent, application leurre ad‑hoc signée, vol d’identifiants (prompt Chrome factice), exfiltration via API légitime (Dropbox), collecte d’infos système et Chrome, exécution de commandes arbitraires, C2 HTTP:8080, obfuscation par concaténation de chaînes.

Conclusion: article d’« analyse de menace » décrivant la dernière variante de FlexibleFerret, sa chaîne d’infection, ses capacités et les artefacts observés.

🧠 TTPs et IOCs détectés

TTP

[‘ingénierie sociale via faux recrutements’, ’exécution guidée de commandes Terminal’, ‘staging multi-étapes via scripts shell’, ‘détection d’architecture’, ‘persistance LaunchAgent’, ‘application leurre ad-hoc signée’, ‘vol d’identifiants’, ’exfiltration via API légitime’, ‘collecte d’infos système et Chrome’, ’exécution de commandes arbitraires’, ‘C2 HTTP:8080’, ‘obfuscation par concaténation de chaînes’]

IOC

{‘domains’: [’evaluza[.]com’, ‘proficiencycert[.]com’, ‘app.zynoracreative.com’, ‘content.dropboxapi.com’, ‘api.ipify.org’], ‘c2’: [‘95.169.180.140:8080’], ‘files_paths’: [’/var/tmp/macpatch.sh’, ‘/var/tmp/CDrivers.zip’, ‘/var/tmp/CDrivers’, ‘drivfixer.sh’, ‘MediaPatcher.app’, ‘~/Library/LaunchAgents/com.driver9990as7tpatch.plist’], ’lures’: [‘Blockchain Capital Operations Manager Hiring Assessment’]}

🔗 Source originale : https://www.jamf.com/blog/flexibleferret-malware-continues-to-adapt/