Jamf Threat Labs opdagede den skadelige infostealer-kode i en fil, som udgav sig for at være et legitimt macOS-værktøj med navnet DynamicLake. Den falske ”DynamicLake”-app imiterede det legitime macOS-værktøj, og da Jamf Threat Labs opdagede truslen, var den ikke identificeret af nogen antivirusprogrammer på VirusTotal.
Komplekse macOS-trusler er en voksende trend
Blandt cybertrusler tilhører DigitStealer kategorien infostealers, som anvender en række avancerede teknikker for at komme forbi Apples indbyggede beskyttelsesforanstaltninger uden at blive opdaget. Angrebet deles op i en række trin og bruger hardwarekontroller for at undgå at blive kørt på visse systemer.
Sværere at opdage end traditionelle metoder
Visse dele af angrebet køres udelukkende i hukommelsen, hvilket gør, at den skadelige kode efterlader meget få spor på harddisken og derfor er svær at opdage for traditionelle sikkerhedsløsninger. Dette understreger behovet for at kombinere signaturbaseret beskyttelsesteknologi med adfærdsbaseret overvågning, som kan identificere mistænkelige aktiviteter, mens de udføres.
Anbefalinger
Jamf anbefaler virksomheder og organisationer at:
- Sikre at avancerede kontrolforanstaltninger mod trusler og blokeringsindstillinger er aktiverede i sikkerhedsløsninger
- Være særligt opmærksomme på software, som downloades fra ukendte kilder eller fra kilder, som ikke tydeligt angiver, hvem de er.
- Fortsætte arbejdet med både forebyggende beskyttelse og adfærdsbaseret analyse for hurtigt at kunne opdage nye trusler mod macOS.
Jamf har i denne rapport udarbejdet en mere detaljeret beskrivelse af den nyopdagede macOS-trussel: https://www.jamf.com/blog/jtl-digitstealer-macos-infostealer-analysis/
