Malwarebytes เตือนให้ระวังประกาศสมัครงานบน Linkedin เสี่ยงมัลแวร์ Flexible Ferret

แม้ macOS จะมีชื่อเสียงที่ดีในด้านความปลอดภัยมานานผ่านหลายยุคหลายสมัย แต่การแฮก macOS และจับจ้องเล่นเหยื่อผู้ใช้งานระบบปฏิบัติการนี้ก็มีการพัฒนาขึ้นทุกวันไม่ว่าจะเป็นด้วยตัวมัลแวร์ หรือผ่านวิธีการหลอกลวงแบบใหม่ ๆ ดังเช่นในข่าวนี้

จากรายงานโดยเว็บไซต์อย่างเป็นทางการของบริษัทผู้พัฒนาเครื่องมือต่อต้านมัลแวร์ Malwarebytes ได้กล่าวถึงการตรวจพบแคมเปญแพร้กระจายมัลแวร์แคมเปญใหม่ผ่านทางโซเชียลมีเดียสำหรับคนทำงานอย่าง Linkedin โดยฝีมือของกลุ่มแฮกเกอร์จากเกาหลีเหนือ ภายใต้ชื่อแคมเปญ Contagious Interview ที่มุ่งเน้นการเล่นงานเหยื่อไปยังกลุ่มเหยื่อที่ใช้งานระบบปฏิบัติการ macOS ผ่านทางการปลอมตัวเป็นผู้จัดหางาน (Recruiter) บนโซเชียลมีเดียดังกล่าว เข้าเชิญชวนเหยื่อ โดยเฉพาะเหยื่อที่ทำงานในวงการพัฒนาซอฟต์แวร์ และปัญญาประดิษฐ์ (Artificial Intelligence หรือ AI) ที่กำลังมองหางานใหม่อยู่ ด้วยการใช้วิธีการวิศวกรรมทางสังคม (Social Engineering) เข้าหลอกเหยื่อให้ทำตามที่แฮกเกอร์สั่งเพื่อนำไปสู่การติดตั้งมัลแวร์ลงบนเครื่องของตนเอง

โดยแฮกเกอร์ที่ปลอมตัวเป็นนายหน้าจัดหางานนั้น หลังจากติดต่อกับเหยื่อเรียบร้อย ก็จะหลอกให้เหยื่อทำแบบทดสอบวัดความเหมาะสมในการทำงาน (Job Assessment) ผ่านทางเว็บไซต์ปลอมที่ถูกวางไว้เป็นกับดัก ซึ่งในการหลอกลวงนี้จะคล้ายคลึงกับวิธีการแบบ ClickFix หรือการหลอกให้เหยื่อทำตามคำสั่งบนหน้าจอหลังมีการเตือนข้อผิดพลาดแบบปลอม ๆ เนื่องจากระหว่างที่เหยื่อพยายามที่จะกดอัดวิดีโอนั้น ตัวหน้าจอบนเว็บไซต์ปลอมก็จะขึ้นคำเตือนว่าไม่สามารถใช้งานกล้องและไมโครโฟนได้ ขอให้เหยื่อทำการแก้ไขด้วยการดาวน์โหลดและอัปเดตแอปพลิเคชัน FFmpeg จากทางเว็บไซต์

ซึ่งในขั้นนี้ตัวเว็บไซต์จะสั่งให้เหยื่อทำการรันคำสั่งแบบ Curl ผ่านทางแอปพลิเคชัน Terminal โดยหลังจากรันคำสั่ง ตัวคำสั่งจะนำไปสู่การดาวน์โหลดสคริปท์ที่จะทำการติดตั้งมัลแวร์แบบเปิดประตูหลังของระบบ หรือ Backdoor ที่มีชื่อว่า FlexibleFerret ลงมาติดตั้ง ในขณะเดียวกันตัวโค้ดก็จะทำการเด้งหน้าต่าง (Pop Up) ของแอปพลิเคชันตัวล่อ (Decoy) ที่ปลอมแปลงเหมือนเว็บเบราว์เซอร์ Chrome โดยหลอกว่า ตัว Chrome นั้นไม่สามารถเข้าถึงกล้องได้ ต้องการให้เหยื่อทำการกรอกรหัสผ่านของตัวระบบเพื่อเปิดการใช้งาน ซึ่งเป็นการหลอกขโมยรหัสผ่านรูปแบบหนึ่ง โดยรหัสผ่านดังกล่าวนั้นจะถูกส่งไปยัง DropBox ของแฮกเกอร์

ภาพจาก : https://www.malwarebytes.com/blog/news/2025/11/fake-linkedin-jobs-trick-mac-users-into-downloading-flexible-ferret-malware

โดยหลังจากที่ได้รับรหัสผ่านมาแล้ว มัลแวร์ก็จะทำการสร้างการคงอยู่บนระบบของเหยื่อ (Persistence) ด้วยการสร้าง LaunchAgent ขึ้นมาเพื่อรับประกันว่ามัลแวร์จะคงอยู่บนระบบด้วยการโหลดตัวเองขึ้นมาใหม่ทุกครั้งที่มีการบูทเครื่องใหม่ อันเป็นการฝังตัวมัลแวร์ FlexibleFerret อย่างสมบูรณ์ โดยมัลแวร์ตัวนี้นั้นมีความสามารถมากมายไม่ว่าจะเป็น

• ขโมยข้อมูลเกี่ยวกับระบบของเหยื่อ
• อัปโหลดไฟล์บนเครื่องของเหยื่อกลับไปยังเซิร์ฟเวอร์ และดาวน์โหลดไฟล์ของแฮกเกอร์ลงมาบนเครื่อง
• รันคำสั่งแบบ Shell เพื่อเข้าควบคุมเครื่องอย่างสมบูรณ์
• ขโมยข้อมูลจากเว็บเบราว์เซอร์ Chrome
• ขโมยรหัสผ่านต่าง ๆ อย่างอัตโนมัติ

ทางทีมวิจัยยังได้แนะนำอีกว่า ผู้อ่านควรที่จะหลีกเลี่ยงการทำตามคำสั่งต้องสงสัยทั้งจากบนเว็บไซต์ และบุคคลที่ดูผิดสังเกต นอกจากนั้นขอให้ทำการอัปเดตระบบปฏิบัติการอย่างสม่ำเสมอ พร้อมทั้งติดตั้งเครื่องมือต่อต้านมัลแวร์และภัยไซเบอร์ไว้บนเครื่องเพื่อรับมือเหตุที่ไม่คาดคิดหรือความเผอเรอที่อาจเกิดขึ้นได้