Jamf Threat Labs har upptäckt en ny skadlig programvara som riktar in sig på MacOS-användare.
Programvaran delar många likheter med BlueNoroffs Rustbucket-kampanj som upptäcktes av Jamf i våras.
Även om den skadliga programvaran är enkelt utformad är den mycket effektiv. Sara Fernholm, säkerhetsexpert på Jamf, reder ut vad som har hänt och hur man kan skydda sig mot det nya hotet.
Vem ligger bakom skadeprogrammet och vad har de för motiv?
Jamf Threat Labs är ganska säkra på att det är den nordkoreanska gruppen BlueNoroff som ligger bakom skadeprogrammet. Denna grupp ligger bakom många så kallade Advanced Persistant Threats och är en undergrupp till ökända “Lazarus Group” som ofta riktar in sig mot kryptobörser, riskkapitalföretag och banker för att genomföra ekonomiskt motiverade attacker. Under de senaste månaderna har många olika säkerhetsföretag upptäckt att de utför attacker mot företag i syfte att stjäla kryptovaluta.
Nu har Jamf Threat Labs upptäckt en tidigare oidentifierad skadlig programvara som används för att utföra just sådana attacker. Programvaran gör det möjligt för angriparna att köra datorn i bakgrunden medan användaren är ansluten till internet.
Vilka metoder använder BlueNoroff?
BlueNoroff fortsätter att rikta in sig på användare med samma sociala manipulationsmetoder som tidigare. Angriparna undviker dessutom antivirusdetektion genom att använda tidigare oidentifierad skadlig programvara. Det kan ses som ett tecken på att deras arsenal av skadeprogram är mycket stor.
Drabbar det bara MacOS-användare?
Ja, det här specifika skadeprogrammet fungerar endast på MacOS. Andra leverantörer har dock upptäckt liknande attacker från samma aktör som riktar in sig på Windows-datorer.
Hur upptäcktes skadeprogrammet?
Jamf Threat Labs identifierade programmet då det kommunicerade med en domän som Jamf tidigare klassificerat som skadlig. På webbplatsen VirusTotal (en databas som används för att avgöra om filer innehåller skadlig programvara) var det dock grönmarkerat. Hade man inte undersökt saken mer noggrant, hade programmet gått obemärkt förbi eftersom det inte använts av angripare tidigare.
Vilka är de främsta riskerna förknippade med denna skadliga programvara?
Programmet gör det möjligt för angripare att skicka fjärrkommandon till ditt system och utföra kommandon i bakgrunden. Potentiellt kan det leda till att man tillåter leverans av farliga nyttolaster in i systemet.
Vad är angriparnas huvudmål?
Huvudmålet med mycket skadlig programvara är att tillåta att fjärrkommandon skickas från angriparen, som sedan kan ta emot resultaten av dessa kommandon. Huvudmålet för den här specifika aktören har varit att använda fjärrkommandon i syfte att stjäla kryptovaluta.
Hur enkelt är det för andra hackare att utnyttja denna skadliga programvara?
Skadlig programvara är faktiskt ganska enkel i sin funktionalitet. Det svåraste är att övertyga offren att faktiskt köra programvaran och ge den nödvändiga behörigheter. Jamf har inte observerat vilka offren var i detta fall, men BlueNoroff är kända för att locka offer genom att ta kontakt och bygga relationer via chatgrupper.
Vad bör företag göra för att förhindra ett angrepp?
Först och främst ska man inte ta för givet att Mac-datorer är skyddade mot skadlig programvara, särskilt inte när det gäller sofistikerade angripare som har specifika mål. Användare bör tränas i att känna igen social manipulation. Det gäller även utvecklare och teknisk personal, som BlueNoroff brukar rikta in sig på.
Vad bör man göra om man upptäcker ett angrepp?
När en angripare väl har kommit in i ditt system kan det vara mycket svårt att spåra deras aktivitet och säkerställa att de har lämnat systemet. I vissa fall kan en avancerad angripare också ha förflyttat sig lateralt till andra datorer i nätverket. Vår rekommendation är att genomföra en fullständig utredning av ett professionellt incidenthanteringsteam.
