Jamf Threat Labs heeft een nieuwe en geavanceerde macOS-dreiging geïdentificeerd die veel aandacht krijgt in de beveiligingsgemeenschap. De schadelijke code, DigitStealer genaamd, is een infostealer die is ontworpen om onopgemerkt te blijven door middel van geavanceerde technieken die detectie zeer moeilijk maken. De dreiging is specifiek gericht op macOS en toont duidelijk aan dat aanvallers hun technische vaardigheden blijven verbeteren om de beveiligingslagen van Apple te omzeilen.
De nieuwe kwaadaardige code macos cijferdief richt zich specifiek op macOS gebruikers en maakt gebruik van geavanceerde methoden die de ontdekking mogelijk maken moeilijk voor traditionele beveiligingsoplossingen.
De ontdekking van DigitStealer
De ontdekking werd gedaan toen Jamf Threat Labs een bestand analyseerde dat zich voordeed als een legitieme macOS-tool genaamd DynamicLake. De nepapplicatie imiteerde de echte macOS-tool en was ten tijde van de analyse volledig onzichtbaar voor alle antivirusprogramma's van VirusTotal. Dit laat zien hoe snel bedreigingen zich ontwikkelen en hoe moeilijk het voor organisaties is om uitsluitend op traditionele oplossingen te vertrouwen.
Een geavanceerde infostealer met een modulaire aanvalsstructuur
DigitStealer valt in de categorie infostealers, wat betekent dat het primaire doel is om gevoelige informatie van het apparaat van de gebruiker te verzamelen. Dit type code is het afgelopen jaar enorm toegenomen en wordt steeds complexer. DigitStealer gebruikt meerdere lagen technische methoden om te voorkomen dat gedetecteerd tijdens een poging om beveiligingsfuncties te omzeilen zoals macOS Gatekeeper en andere ingebouwde beschermingsmechanismen.
Een belangrijk onderdeel van de effectiviteit van de dreiging is dat deze modulair is en is onderverdeeld in verschillende fasen. Elke fase voert controles uit om te bepalen of er schadelijke code moet worden geactiveerd. Bijvoorbeeld: DigitStealer Specifieke hardwarecontroles die kunnen bepalen of de code op een fysieke computer of in een analyseomgeving wordt uitgevoerd. Als het programma tekenen van een sandbox of virtuele omgeving detecteert, kan het zijn dat het niet wordt geactiveerd, waardoor analyse aanzienlijk wordt bemoeilijkt.
Dreigingsactoren worden steeds geraffineerder
Pontus Nord bij Jamf beschrijft de ontwikkeling duidelijk.
”"We zien dat kwaadwillenden steeds beter worden in het onopvallend blijven, het verbergen van hun sporen en het misbruiken van legitieme diensten en tools om schadelijke code te verspreiden", aldus Pontus Nord van Jamf.
Dit niveau van verfijning is geworden vaker voorgekomen in het afgelopen jaar Steeds meer macOS-bedreigingen gebruiken script-in-memory-technieken en legitieme API-aanroepen om detectie te omzeilen. De combinatie van hoge technische kwaliteit en de mogelijkheid om legitieme activiteiten na te bootsen, zorgt ervoor dat veel organisaties het lek pas ontdekken als de schade al is aangericht.
In-memory-aanvallen vormen grote uitdagingen
Een van de meest problematische kenmerken van DigitStealer is dat delen van de aanval volledig in het geheugen plaatsvinden. Dit betekent dat de schadelijke code niet naar de harde schijf wordt geschreven, wat betekent dat traditionele op handtekeningen gebaseerde antivirusoplossingen maakt het zeer moeilijk om de dreiging te identificeren. Aanvallen die alleen in het geheugen werken, maken het voor bedrijven noodzakelijk om te werken met gedragsgebaseerde monitoring die afwijkingen in realtime kan detecteren. Gedragsgegevens zoals ongebruikelijke processen, onverwachte netwerkverbindingen en ongeautoriseerde toegangspogingen worden steeds belangrijker bij het detecteren van dit soort geavanceerde dreigingen.
macOS steeds aantrekkelijker voor cybercriminelen
DigitStealer bevestigt ook een bredere trend waarbij macOS een aantrekkelijker platform is geworden voor cybercriminelen. Bedrijven die zich voorheen bijna uitsluitend op Windows-omgevingen richtten, merken nu dat aanvallers macOS-gebruikers voorrang geven naarmate het beveiligingsniveau van Windows toeneemt. Naarmate meer makers, ontwikkelaars en zakelijke gebruikers op Macs werken, neemt de waarde van het stelen van gegevens van deze apparaten toe.
Aanbevelingen van Jamf
Jamf doet daarom een aantal aanbevelingen om de verdediging te versterken. Organisaties moeten er allereerst voor zorgen dat geavanceerde bedreigingscontroles en -blokkers in hun beveiligingsoplossingen zijn ingeschakeld. Tools die uitsluitend vertrouwen op handtekeningen of eenvoudige heuristiek zijn niet voldoende tegen bedreigingen zoals DigitStealer. Bedrijven worden ook aangeraden extra voorzichtig te zijn met software die is gedownload van onbekende of onofficiële bronnen. Sociale engineering en namaak-apps zijn een veelvoorkomende manier om dit soort code te verspreiden.
Bedrijven zouden ook met een combinatie van preventie moeten werken bescherming en gedragsanalyse. Warehousebeveiliging is nog steeds relevant, maar moet worden aangevuld met realtime monitoring- en analyse-engines die subtiele tekenen van inbraak kunnen detecteren. Dit geldt met name in omgevingen waar gebruikers beheerdersrechten hebben of tools van derden installeren die niet via centraal goedgekeurde kanalen verlopen.
De dreiging van DigitStealer is een duidelijk voorbeeld van hoe macOS-omgevingen niet langer als minder kwetsbaar kunnen worden beschouwd. Aanvallers investeren nu aanzienlijke middelen in de ontwikkeling van gespecialiseerde code voor het Apple-ecosysteem, waardoor het voor organisaties belangrijk is om hiermee rekening te houden. macOS met dezelfde beveiligingsvereisten als Windows en Linux.
Swedish
Danish
Norwegian
Finnish
English
German
Dutch