I ricercatori di Dr.Web hanno analizzato una nuova campagna malware che sfrutta falsi processi di selezione del personale per distribuire il trojan stealer JobStealer.
L’operazione prende di mira sia utenti macOS sia Windows e si distingue per un approccio particolarmente credibile basato su piattaforme di videoconferenza fraudolente e siti web costruiti per imitare servizi professionali utilizzati nei colloqui da remoto.
Secondo quanto riportato dai ricercatori, gli attaccanti contattano le vittime fingendosi recruiter o rappresentanti aziendali. Dopo un primo contatto, spesso via e-mail o piattaforme professionali, invitano il candidato a partecipare a un meeting online tramite servizi apparentemente legittimi come MeetLab, Carolla o altre piattaforme create appositamente per la campagna. In alcuni casi vengono persino riprodotti elementi grafici di strumenti noti come Cisco Webex, aumentando la credibilità dell’inganno.
“Per convincere gli utenti che queste piattaforme siano perfettamente funzionanti, i truffatori creano canali Telegram e account sui social media corrispondenti, ad esempio su X.”, si legge nel rapporto.
Fonte: Dr. Web.
Indice degli argomenti
Il meccanismo di infezione su macOS
La componente più interessante della campagna riguarda le tecniche utilizzate contro sistemi macOS.
Gli operatori di JobStealer sfruttano infatti il fattore umano inducendo l’utente a eseguire manualmente comandi nel Terminale.
In pratica, la vittima viene convinta a copiare e incollare uno script bash con il pretesto di installare il software necessario per la videoconferenza oppure in alternativa viene distribuito un file DMG apparentemente innocuo che contiene istruzioni fraudolente per avviare le componenti malevoli
Fonte: Dr. Web.
Nel secondo caso, l’immagine .DMG offerta per il download contiene già i file malevoli e una volta montata, mostra le istruzioni su come installare l’applicazione.
“Queste istruzioni indicano all’utente di aprire il terminale e trascinare lo script fornito nella finestra. In realtà, invece di installare l’applicazione per le videoconferenze, lo script avvierà il file trojan”, spiegano i ricercatori di Dr. Web, evidenziando che le versioni più recenti del malware includono tecniche di offuscamento più avanzate rispetto alle prime varianti osservate in circolazione.
Il trojan è, inoltre, compatibile con architetture di processori x64 e ARM64, dimostrando un livello di sviluppo ormai maturo.
In tutti i casi una volta eseguito lo script, il malware identificato come Mac.PWS.JobStealer.1 avvia la raccolta di informazioni sensibili presenti sul dispositivo.
Raccolta di credenziali e dati sensibili
Dopo l’esecuzione, JobStealer mostra una falsa richiesta di autenticazione di sistema per ottenere la password dell’utente macOS.
Questo passaggio consente agli attaccanti di aumentare i privilegi e accedere a un numero maggiore di informazioni. Il malware si concentra principalmente sul furto di credenziali archiviate nei browser Chromium-based (Chrome, Opera, Brave, OperaGX, Vivaldi, Edge, Arc e CocCoc).
Vengono raccolti cookie di sessione, password salvate e informazioni di pagamento memorizzate localmente. Parallelamente il trojan ricerca estensioni wallet legate al mondo delle criptovalute, prendendo di mira circa trecento plugin differenti.
L’analisi mostra, inoltre, il tentativo di acquisire dati provenienti da Telegram Desktop, dall’applicazione Notes di macOS e da software wallet come Ledger Live e Trezor Suite.
Tutte le informazioni raccolte vengono archiviate in file compressi ZIP ed esfiltrate verso i server di comando e controllo utilizzati dagli operatori della campagna.
Una minaccia multipiattaforma
Oltre alla componente macOS, Dr.Web conferma l’esistenza di una versione Windows del malware con funzionalità analoghe.
Alcuni dei portali fraudolenti analizzati mostrano anche pulsanti dedicati a Linux, Android e iOS, segnale che il gruppo criminale potrebbe pianificare un’espansione futura verso ulteriori piattaforme.
Fonte: Dr. Web.
I rischi per aziende e professionisti
Questa operazione conferma come i processi di recruiting siano diventati un vettore privilegiato per le campagne di social engineering. L’aumento del lavoro remoto e dei colloqui online rende infatti più semplice per gli attaccanti costruire scenari realistici e convincere le vittime a eseguire software non verificato.
Il rischio è particolarmente elevato per professionisti IT, sviluppatori e personale aziendale che utilizzano frequentemente strumenti di videoconferenza e gestiscono credenziali sensibili sui propri dispositivi.
Per ridurre l’esposizione è fondamentale impedire l’esecuzione di script copiati manualmente nel Terminale, limitare il salvataggio di password nei browser e adottare sistemi EDR capaci di rilevare tentativi di furto credenziali e anomalie nel trasferimento dati.
Anche la formazione del personale resta un elemento centrale.
I dipendenti devono essere addestrati a verificare sempre l’autenticità delle piattaforme utilizzate durante colloqui e meeting online, soprattutto quando viene richiesto di scaricare software o eseguire comandi manuali.
