跳转至

Fake Job Interview Apps Drop JobStealer Malware on Windows and macOS

Ch12.046 Fake Job Interview Apps Drop JobStealer Malware on Windows and macOS

📊 Level ⭐⭐ | 8.6KB | entities/fake-job-interview-apps-drop-jobstealer-malware-on-windows-and-macos.md

核心要点

  • 攻击者以虚假招聘面试为诱饵,在 macOS 和 Windows 上部署 JobStealer 木马,窃取加密货币钱包、浏览器凭据和敏感文件
  • 恶意程序伪装成视频会议应用(MeetLab、Meetix、Juseo、Carolla),甚至冒用 Cisco Webex 等合法品牌降低受害者警惕
  • macOS 版本通过 Terminal 命令或 DMG 安装包诱导用户手动执行,绕过系统安全警告
  • 恶意站点还提供 Linux、iOS、Android 下载专区,虽然尚未完全部署,但表明攻击面在扩大
  • 攻击者将收集的数据压缩为 ZIP 档案上传至 C2 服务器,并映射至多项 MITRE ATT&CK 技术

事件背景

2026 年 5 月中旬,安全研究机构 Dr.Web 发布报告,披露一起持续发酵的恶意软件攻击活动。攻击者以"在线面试"为名义,向受害者发送招聘邀请,并引导其下载所谓的"视频会议工具"。这些网站制作精良,包含完整品牌标识、社交媒体账号和 Telegram 频道,看起来像正规服务 。 攻击链的起点是一个看似正常的求职流程:受害者收到一份待遇优厚的岗位邀请,被要求安装专用会议软件以参加视频面试 。然而,受害者点击下载的不是视频会议客户端,而是一个包含木马的恶意程序 。 已发现的恶意站点包括 Meetlab.ioMeetix.appCarolla.appCloudproxy.link 。部分站点甚至冒用了 Cisco Webex 的品牌元素,以进一步降低受害者的戒心 。

技术分析

macOS 攻击链

在 macOS 系统上,攻击者采用两种分发策略。第一种要求受害者将 Bash 命令粘贴到 Terminal 执行;第二种提供一个 DMG 安装包,其中包含伪造的安装说明 。两种方式的核心逻辑相同:诱导用户手动启动木马程序,从而绕过 macOS 的安全防护机制 。 恶意程序被检测为 Mac.PWS.JobStealer.1,同时支持 Intel 和 Apple Silicon 架构 。Dr.Web 指出,新版本已添加更强混淆并支持 arm64,这说明攻击者在持续迭代,以解决早期变种在新型 Mac 硬件上无法运行的问题 。 程序运行后,会显示一个伪造的错误对话框,声称需要输入 macOS 账户密码才能继续 。获得密码后,JobStealer 开始大规模收集系统数据 。

窃取目标

JobStealer 的首要目标是加密货币资产 。它扫描 Chromium 系浏览器(Chrome、Brave、Opera、Edge、Vivaldi、Arc、CocCoc),查找约 300 种加密钱包扩展程序 。此外,还提取浏览器 Cookie、已保存密码、自动填充的支付数据、Telegram 会话文件、Apple Notes 中的笔记,以及硬件钱包软件痕迹(如 Ledger Live 和 Trezor Suite) 。 数据收集完毕后,恶意程序将所有文件压缩为 ZIP 档案,上传至攻击者控制的 C2 服务器 。

Windows 及多平台扩展

Windows 版本与 macOS 版本采用相同的攻击手法,专注于窃取浏览器数据、加密钱包和用户凭据 。更值得警惕的是,研究人员在部分恶意站点上发现了 Linux、iOS 和 Android 的下载专区,虽然这些版本尚未完全部署,但表明攻击者的目标平台范围正在扩大 。

MITRE ATT&CK 映射

Dr.Web 将本次活动映射至多项 MITRE ATT&CK 技术,包括:通过复制粘贴执行恶意命令(T1059)、从浏览器和 Keychain 窃取凭据(T1005)、自动化数据收集(T1119),以及通过 Web 服务外传数据(T1041) 。

深度分析

社会工程学模式的进化

这起攻击标志着社会工程学战术正在向远程办公文化深度适配 。传统的网络钓鱼依赖电子邮件或恶意附件,而现在攻击者直接利用在线面试这一高频场景,将恶意软件包装成正常的职业沟通工具 。 对于正在求职的技术人群,特别是对 macOS 环境安全性有较强信任感的开发者群体,这种攻击方式的成功率更高 。攻击者选择冒充 Cisco Webex 这类企业级工具,也是看中了目标用户对"正规企业流程"的信任心理 。

macOS 安全模型的局限

macOS 长期以来以"不需要管理员权限"作为安全卖点,但这类攻击证明了用户交互本身可以成为绕过系统防护的途径 。通过诱导用户在 Terminal 中执行命令,攻击者将决策权从操作系统转移到了毫无戒心的受害者手中 。这是一个经典的"曲线绕过"策略——不正面挑战安全机制,而是利用用户的认知盲区 。

跨平台趋势的威胁升级

攻击者已在 Linux、iOS、Android 端点预留了下载入口,表明这是一个以多平台为目标的恶意软件家族 。虽然截至报告时这些版本尚未完全部署,但其意图已非常明确:一旦某个平台的用户基数足够大,攻击者随时可以激活对应的攻击模块 。

加密货币窃取的经济动机

JobStealer 对硬件钱包软件(Ledger Live、Trezor Suite)的专项扫描表明,经济动机是本次攻击的核心驱动力 。相比普通凭据倒卖,窃取加密货币能在短时间内产生直接经济回报,且追踪难度更高 。这一获利模式的确立,意味着类似攻击将持续出现并不断进化 。

实践启示

防范 Terminal 命令诱导:任何要求将命令粘贴到 Terminal 的操作都应该引起高度警惕。正式的面试流程绝不会要求候选人绕过操作系统安全机制。如果对方坚持,这是明确的红色旗帜。 只从官方渠道获取会议软件:下载视频会议工具时,应直接访问供应商官网,而非通过邮件或聊天中的链接进入。如果需要使用 Cisco Webex、Zoom 等平台,应从其官方网站下载,而非第三方站点的"定制版"。 对加密货币用户的安全建议:浏览器中安装加密钱包扩展的用户应提高警惕,特别是在进行任何与工作申请相关的操作时。建议使用硬件钱包离线签发交易,不要在浏览器中长期存储大额资产对应的种子短语。 密码管理器与 MFA 的必要性:即使恶意程序成功提取了浏览器存储的密码,如果账户开启了多因素认证(MFA),攻击者仍无法直接登录。密码管理器的使用也能有效降低凭据被一次性窃取的风险。

相关实体

原文存档