Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Wouter Hoeffnagel - 26 november 2025

Nieuwe macOS-malwarecampagne ontdekt met valse vacaturewebsites

De macOS-malware FlexibleFerret wordt actief verspreid door kwaadwillenden. De aanval maakt gebruik van valse vacaturewebsites om slachtoffers te misleiden met valse vacatures en assessments. Uit analyse van Jamf Threat Labs blijkt dat de malware zich verspreidt via JavaScript-bestanden die verwijzen naar een schadelijk script op /var/tmp/macpatch.sh.

Security
Nieuwe macOS-malwarecampagne ontdekt met valse vacaturewebsites image

De aanvallers creëren overtuigende nep-websites, zoals evaluza[.]com en proficiencycert[.]com, waar slachtoffers worden verleid om deel te nemen aan een beoordeling. Een LinkedIn-gebruiker meldde eerder een vergelijkbare aanval, waarbij om een videopresentatie en persoonlijke gegevens werd gevraagd. De JavaScript-bestanden passen de inhoud dynamisch aan op basis van de doelwitrol, zoals een valse beoordeling voor een "Blockchain Capital Operations Manager".

Slachtoffers worden vervolgens overgehaald om een curl-commando uit te voeren, onder het mom dat hun macOS-verouderd zou zijn. Dit commando downloadt een tweede payload naar /var/tmp/macpatch.sh, die vervolgens wordt uitgevoerd.

Tweede fase: achtergrondinstallatie

Het script bepaalt eerst de processorarchitectuur (ARM64 of Intel) en downloadt een bijbehorend ZIP-bestand van domeinen als zynoracreative[.]com. Dit bestand wordt uitgepakt in /var/tmp/CDrivers, waarna een loader-script (drivfixer.sh) wordt gestart. Daarnaast installeert de malware een LaunchAgent om persistentie te garanderen en opent een nep-applicatie (MediaPatcher.app) die wachtwoorden probeert te stelen via een valse Chrome-prompt.

Derde fase: backdoor en gegevensdiefstal

De uiteindelijke payload is een Golang-backdoor die contact legt met een command-and-control-server (95.169.180.140:8080). De malware kan systeeminformatie verzamelen, bestanden uploaden/downloaden, commando’s uitvoeren en Chrome-gegevens exfiltreren naar Dropbox. Bij fouten herstart de backdoor automatisch na vijf minuten.

Indicators of Compromise (IoCs)

Hashes (JavaScript, scripts, payloads):

  • fa0022f19c01c56beffe1447e6d62358e770deffe53e39010d6b7ca7b5c87209
  • 4faf567238e22a6217270c550aa9437141e693eb28bbf460c9996071fda0ab05 (macpatch.sh)

Domeinen en IP’s:

  • compassidea[.]org
  • zynoracreative[.]com
  • proficiencycert[.]com
  • 95.169.180.140:8080

Bestandspaden:

  • /var/tmp/macpatch.sh
  • ~/Library/LaunchAgents/com.driver9990as7tpatch.plist

Jamf adviseert organisaties om ongevraagde beoordelingen voor sollicitaties en Terminal-commando’s als verdacht te beschouwen. Het bedrijf adviseert gebruikers die met dergelijke instructies te maken krijgen dit te melden, en deze instructies nooit uit te voeren. Meer informatie over de aanvalscampagne is hier te vinden.

Semperis BW + BN Nextnovate Gen AI At Work BW + BN

Dutch IT events

Event icon

Event

Dutch IT Security Day op 18 juni 2026

Event icon

Event

Eurofiber You're on Stage Academy 2025

Alle events
Semperis BW + BN

Over Wouter Hoeffnagel

Wouter Hoeffnagel

Wouter Hoeffnagel is Manager Online Content bij Dutch IT Media

Hij is expert op het gebied van ICT en schrijft hierover al jaren in de vorm van nieuwsberichten en inzichtelijke artikelen.