Jamf-trussellaboratorier har identifisert en ny og avansert macOS-trussel som får betydelig oppmerksomhet i sikkerhetsmiljøet. Den skadelige koden, kalt DigitStealer, er en infotyver som er laget for å snike seg under radaren gjennom avanserte teknikker som gjør den svært vanskelig å oppdage. Trusselen retter seg spesifikt mot macOS og viser tydelig at angripere fortsetter å heve sitt tekniske nivå for å omgå Apples sikkerhetslag.
Den nye ondsinnede koden macOS siffertyver rettet mot macOS brukere og bruker avanserte metoder som gjør oppdagelsen vanskelig for tradisjonelle sikkerhetsløsninger.

Oppdagelsen av DigitStealer
Oppdagelsen ble gjort da Jamf Threat Labs analyserte en fil som utga seg for å være et legitimt macOS-verktøy kalt DynamicLake. Den falske applikasjonen imiterte det ekte macOS-verktøyet og var fullstendig usynlig for alle antivirusmotorer på VirusTotal på analysetidspunktet. Dette viser hvor raskt trusler utvikler seg og hvor vanskelig det er for organisasjoner å stole utelukkende på tradisjonelle løsninger.
En avansert infotyver med en modulær angrepsstruktur
DigitStealer faller inn under kategorien infostealer, som betyr at hovedformålet er å samle inn sensitiv informasjon fra brukerens enhet. Denne typen kode har økt dramatisk det siste året og blir stadig mer kompleks. DigitStealer bruker flere lag med tekniske metoder for å unngå oppdaget under forsøk på å omgå sikkerhetsfunksjoner som macOS Gatekeeper og andre innebygde beskyttelsesmekanismer.
En viktig del av trusselens effektivitet er at den er modulær og delt inn i forskjellige stadier. Hvert stadium utfører kontroller som avgjør om skadelig kode skal aktiveres eller ikke. For eksempel, DigitStealer spesifikke maskinvarekontroller som kan avgjøre om koden kjører på en fysisk datamaskin eller i et analysemiljø. Hvis programmet oppdager tegn på en sandkasse eller et virtuelt miljø, kan det hende at det ikke aktiveres, noe som gjør analysen betydelig vanskeligere.

Trusselaktører blir mer sofistikerte
Pontus Nord hos Jamf beskriver utviklingen tydelig.
”Vi ser at trusselaktører blir stadig dyktigere til å blande seg inn, skjule sporene sine og utnytte legitime tjenester og verktøy for å spre ondsinnet kode”, sier Pontus Nord hos Jamf.
Dette nivået av raffinement har blitt vanligere det siste året der et økende antall macOS-trusler bruker script-in-memory-teknikker og legitime API-kall for å unngå å bli oppdaget. Kombinasjonen av høy teknisk kvalitet og en evne til å etterligne legitim aktivitet betyr at mange organisasjoner ikke oppdager bruddet før skaden allerede er skjedd.

Minneangrep skaper store utfordringer
En av de mest problematiske funksjonene ved DigitStealer er at deler av angrepet kjører utelukkende i minnet. Dette betyr at den skadelige koden ikke skrives til harddisken, noe som betyr at tradisjonelle signaturbaserte antivirusløsninger gjør det svært vanskelig å identifisere trusselen. Angrep som kun opererer i minnet gjør det nødvendig for bedrifter å jobbe med atferdsbasert overvåking som kan oppdage avvik i sanntid. Atferdsdata som uvanlige prosesser, uventede nettverkstilkoblinger og uautoriserte tilgangsforsøk blir stadig viktigere for å fange opp denne typen sofistikerte trusler.
macOS stadig mer attraktivt for nettkriminelle
DigitStealer bekrefter også en bredere trend der macOS har blitt en mer attraktiv plattform for nettkriminelle. Selskaper som tidligere fokuserte nesten utelukkende på Windows-miljøer, opplever nå at angripere prioriterer macOS-brukere etter hvert som sikkerhetsnivået på Windows øker. Etter hvert som flere utviklere, utviklere og forretningsbrukere jobber på Mac-er, øker verdien av å stjele data fra disse enhetene.

Anbefalinger fra Jamf
Jamf fremhever derfor en rekke anbefalinger for å styrke forsvarskapasiteten. Organisasjoner bør først sørge for at avanserte trusselkontroller og blokkeringer er aktivert i sikkerhetsløsningene sine. Verktøy som utelukkende er avhengige av signaturer eller enkle heuristikker vil ikke være nok mot trusler som DigitStealer. Bedrifter oppfordres også til å være ekstra forsiktige med programvare lastet ned fra ukjente eller uoffisielle kilder. Sosial manipulering og forfalskede apper er en vanlig metode for å spre denne typen kode.
Bedrifter bør også jobbe med en kombinasjon av forebygging beskyttelse og atferdsanalyse. Lagerbeskyttelse er fortsatt relevant, men må suppleres med sanntidsovervåkings- og analysemotorer som kan oppdage subtile tegn på inntrenging. Dette gjelder spesielt i miljøer der brukere har administratorrettigheter eller installerer tredjepartsverktøy som ikke går gjennom sentralt godkjente kanaler.
Trusselen fra DigitStealer er et tydelig eksempel på hvordan macOS-miljøer ikke lenger kan anses som mindre sårbare. Angripere investerer nå betydelige ressurser i å utvikle spesialkode for Apples økosystem, noe som gjør det viktig for organisasjoner å håndtere macOS med de samme sikkerhetskravene som Windows og Linux.








