Jamf Threat Labs har identificeret en ny og avanceret macOS-trussel, der tiltrækker sig betydelig opmærksomhed i sikkerhedsmiljøet. Den skadelige kode, kaldet DigitStealer, er en infostealer, der er bygget til at snige sig under radaren ved hjælp af avancerede teknikker, der gør den meget vanskelig at opdage. Truslen er specifikt rettet mod macOS og viser tydeligt, at angribere fortsætter med at hæve deres tekniske niveau for at omgå Apples sikkerhedslag.
Den nye ondsindede kode Macos ciffertyveri specifikt rettet mod macOS brugere og anvender avancerede metoder, der gør opdagelsen vanskeligt for traditionelle sikkerhedsløsninger.

Opdagelsen af DigitStealer
Opdagelsen blev gjort, da Jamf Threat Labs analyserede en fil, der foregav at være et legitimt macOS-værktøj kaldet DynamicLake. Den falske applikation imiterede det rigtige macOS-værktøj og var fuldstændig usynlig for alle antivirusprogrammer på VirusTotal på analysetidspunktet. Dette viser, hvor hurtigt trusler udvikler sig, og hvor svært det er for organisationer udelukkende at stole på traditionelle løsninger.
En avanceret infostjæler med en modulær angrebsstruktur
DigitStealer falder ind under kategorien infostealer, hvilket betyder, at dens primære formål er at indsamle følsomme oplysninger fra brugerens enhed. Denne type kode er steget dramatisk i det seneste år og bliver stadig mere kompleks. DigitStealer bruger flere lag af tekniske metoder for at undgå opdaget under forsøg på at omgå sikkerhedsfunktioner såsom macOS Gatekeeper og andre indbyggede beskyttelsesmekanismer.
En central del af truslens effektivitet er, at den er modulær og opdelt i forskellige faser. Hver fase udfører kontroller, der afgør, om skadelig kode skal aktiveres eller ej. For eksempel, DigitStealer specifikke hardwarekontroller, der kan afgøre, om koden kører på en fysisk computer eller i et analysemiljø. Hvis programmet registrerer tegn på en sandkasse eller et virtuelt miljø, kan det afholde sig fra at aktivere, hvilket gør analysen betydeligt vanskeligere.

Trusselaktører bliver mere sofistikerede
Pontus Nord hos Jamf beskriver udviklingen tydeligt.
”"Vi ser, at trusselsaktører bliver mere og mere dygtige til at blande sig ind, skjule deres spor og udnytte legitime tjenester og værktøjer til at sprede ondsindet kode," siger Pontus Nord fra Jamf.
Dette niveau af sofistikering er blevet mere almindeligt i det seneste år hvor et stigende antal macOS-trusler bruger script-in-memory-teknikker og legitime API-kald for at undgå at blive opdaget. Kombinationen af høj teknisk kvalitet og en evne til at efterligne legitim aktivitet betyder, at mange organisationer ikke opdager bruddet, før skaden allerede er sket.

In-memory-angreb skaber store udfordringer
En af de mest problematiske funktioner ved DigitStealer er, at dele af angrebet udelukkende kører i hukommelsen. Det betyder, at den skadelige kode ikke skrives til harddisken, hvilket betyder, at traditionelle signaturbaserede antivirusløsninger gør det meget vanskeligt at identificere truslen. Angreb, der kun opererer i hukommelsen, gør det nødvendigt for virksomheder at arbejde med adfærdsbaseret overvågning, der kan opdage anomalier i realtid. Adfærdsdata såsom usædvanlige processer, uventede netværksforbindelser og uautoriserede adgangsforsøg bliver stadig vigtigere for at opdage disse typer af sofistikerede trusler.
macOS bliver stadig mere attraktivt for cyberkriminelle
DigitStealer bekræfter også en bredere tendens, hvor macOS er blevet en mere attraktiv platform for cyberkriminelle. Virksomheder, der tidligere næsten udelukkende fokuserede på Windows-miljøer, oplever nu, at angribere prioriterer macOS-brugere, efterhånden som sikkerhedsniveauet på Windows stiger. Efterhånden som flere skabere, udviklere og erhvervsbrugere arbejder på Macs, stiger værdien af at stjæle data fra disse enheder.

Anbefalinger fra Jamf
Jamf fremhæver derfor en række anbefalinger til at styrke forsvarskapaciteten. Organisationer bør først sikre, at avancerede trusselskontroller og -blokkere er aktiveret i deres sikkerhedsløsninger. Værktøjer, der udelukkende er afhængige af signaturer eller simple heuristikker, vil ikke være tilstrækkelige mod trusler som DigitStealer. Virksomheder opfordres også til at være ekstra forsigtige med software, der downloades fra ukendte eller uofficielle kilder. Social manipulation og forfalskede apps er en almindelig metode til at sprede denne type kode.
Virksomheder bør også arbejde med en kombination af forebyggelse beskyttelse og adfærdsanalyse. Lagerbeskyttelse er stadig relevant, men skal suppleres med realtidsovervågnings- og analysemotorer, der kan registrere subtile tegn på indtrængen. Dette gælder især i miljøer, hvor brugerne har administratorrettigheder eller installerer tredjepartsværktøjer, der ikke går gennem centralt godkendte kanaler.
Truslen fra DigitStealer er et tydeligt eksempel på, hvordan macOS-miljøer ikke længere kan betragtes som mindre sårbare. Angribere investerer nu betydelige ressourcer i at udvikle specialiseret kode til Apples økosystem, hvilket gør det vigtigt for organisationer at adressere macOS med de samme sikkerhedskrav som Windows og Linux.








