Pesquisadores identificaram uma campanha em que usuários de Mac são enganados ao baixar uma atualização falsa do FFmpeg, que instala um porta dos fundos. O golpe começa com atacantes se passando por recrutadores no LinkedIn, convidando vítimas a participar de um processo seletivo que exige gravação de vídeo-introdução em um site específico.
Como o golpe funciona
No site falso, a vítima é orientada a preencher um “job assessment” e depois gravar um vídeo. O site afirma que o acesso à câmera/microfone está bloqueado e orienta o download de uma suposta atualização do FFmpeg para resolver o ‘problema’.
O usuário recebe um comando curl para rodar no Terminal do Mac. O comando baixa um script malicioso, instala um backdoor e também executa um aplicativo ‘decoy’ que simula uma janela do Chrome solicitando acesso à câmera. Em seguida, solicite a senha da conta pertencente ao Mac — que é enviada aos criminosos via Dropbox.
Recomendações
- Organizações e usuários devem desconfiar de obrigações para executar comandos no Terminal, especialmente quando relacionados a processos seletivos ou downloads não solicitados.
- Nunca forneça sua senha a janelas suspeitas ou processos que não foram verificados.
- Use apenas canais oficiais para baixar atualizações de softwares (sempre no site do desenvolvedor).
- As empresas devem alertar os colaboradores para fraudes baseadas em onboarding falsos e instruções de linha de comando que visam contornar problemas fictícios.
A campanha destaca o uso criativo de engenharia social para aventureiros e reforça a importância de orientar os usuários quanto aos golpes sofisticados que exploram etapas de recrutamento e manipulação de sistema.
