北朝鮮関連マルウェアのFlexibleFerret、引き続きmacOSユーザーを標的に

佐々山 Tacos

2025.11.26

Contagious Interview関連マルウェアのFlexibleFerret、引き続きmacOSユーザーを標的に

DarkReading – November 26, 2025

マルウェアファミリー「FlexibleFerret」のオペレーターである北朝鮮関連のアクターらが、偽の求人広告を使ってmacOSユーザーを狙う認証情報窃取キャンペーンをさらに進化させているという。Jamf Threat Labsが新たに観測したアクティビティについて報告した。

FlexibleFerretは2025年9月にSentinelOneが報告した新たなmacOS向けマルウェアファミリー。SentinelOneの同レポートおよび11月20日公開のValidinによるブログ記事において、同マルウェアは、「Contagious Interview」と呼ばれるキャンペーンに関与する朝鮮人民共和国（DPRK）関連のアクターに関連づけられている。Contagious Interviewは、求職者を偽の求人広告などで騙し、複数段階から成る「採用プロセス」の中で悪意ある指示を実行させ、マルウェアへの感染に繋げるもの。Lazarusによるものとも言われており、感染した求職者からは認証情報や暗号資産ウォレット情報、ブラウザ情報などの情報が盗み出される。

Jamfが新たに分析したContagious Interview関連のアクティビティも、求職者を偽求人広告で騙すソーシャルエンジニアリングの手法が使われる点は同様。ただ、これまで以上に説得力の増したリクルーティングルアーを使い、ClickFix戦術で標的ユーザーに自らのmacOSのTerminal内で悪意あるコマンドを実行するよう誘導するものになっているほか、展開されるシェルローダーのアップデート、囮用アプリケーションの採用、永続性メカニズムの改善など、これまでの攻撃から進化した側面が複数観測されたという。

新たな攻撃の中核を成すのは、正規の「採用評価ポータル」に見せかけた複数の採用関連テーマのWebページ。その1つが「evaluza[.]com」で、このサイトでは「ブロックチェーン・キャピタル・オペレーション・マネージャー」などの職種に関する、正式なオンライン評価のようなものが提示される。表示される職種名や企業名はJavaScriptステージャーにより動的に選択されるため、訪問者ごとにカスタマイズされた内容が現れるようになっているとみられる。その後、訪問者はインストラクション動画の視聴または同様のタスクを完了するよう指示されたのち、カメラやマイクに関する虚偽の「アクセス上の問題」を「修正するため」として、Terminalコマンドを実行するよう仕向けられる。

脅威アクターは、このようにユーザー自身にcurlコマンドを手動でTerminalへコピー・ペーストさせることにより、macOSに内蔵される安全対策およびアプリ検証メカニズムを回避。コマンドが実行されると感染プロセスが開始し、シェルスクリプトがシステムのCPUがインテルかARMかを判断。それぞれに相応しい第2段階のペイロードをフェッチするという。

今回Jamfが発見した新たな戦術の1つは、署名済みの囮用アプリ「MediaPatcher[.]app」を用いるというもの。このアプリは、カメラへのアクセスの許可を求めるmacOS風の偽リクエストポップアップを表示させたのち、Chrome風のパスワード要求ポップアップを表示。入力された認証情報をバックグランドで収集し、Dropboxへと抽出する仕組みになっている。

その後展開される最終段階のペイロードはGo言語のバックドアで、ハードコードされたC2サーバーに接続して悪意あるコマンドを受信・実行する。実行できるコマンドにはシステム情報の収集、ファイルのアップロード・ダウンロード、ブラウザからのデータ採集、キーチェーン情報の抜き出しなどがあり、以前までのバージョンよりも対応できるコマンドの数が増えていると報告された。

Jamfは、FlexibleFerretキャンペーンがmacOSユーザーにとって「アクティブな脅威」であり続けていることが浮き彫りになったと指摘し、組織に対し、予期せぬ「採用」評価やTerminalを使用した「修正」の指示に出くわした場合は、これを「ハイリスク」なものとして扱うべきだと提言。一方でこうしたルアーはより広く観測されるようになっていることから、発見した場合の対処法や報告手順について従業員に周知しておくことも推奨している。