Jamf Threat Labs oppdaget den ondsinnede infostealer-koden i en fil som utga seg for å være et legitimt macOS-verktøy kalt DynamicLake. Den falske DynamicLake-appen etterligner det ekte macOS-verktøyet og ble på tidspunktet for analysen ikke oppdaget av noen antivirusmotorer i VirusTotal.
Mer komplekse macOS-trusler
DigitStealer, som tilhører infostealers-trusselfamilien, bruker flere avanserte teknikker for ikke å bli oppdaget og omgå Apples innebygde beskyttelse. Angrepet er delt opp i flere stadier og bruker maskinvarekontroller for å unngå å kjøre på visse systemer.
– Vi ser at trusselaktører blir stadig flinkere til å smelte seg inn, skjule sporene sine og utnytte legitime tjenester og verktøy for å spre skadelig programvare, sier salgsingeniør Pontus Nord i Jamf.
Vanskeligere å oppdage med tradisjonelle metoder
Noen deler av angrepet kjører utelukkende i minnet, noe som betyr at skadelig programvare etterlater svært få spor på disken og er derfor vanskelig for tradisjonelle sikkerhetsløsninger å oppdage. Dette understreker behovet for å kombinere signaturbasert beskyttelsesteknologi med atferdsbasert overvåking som kan oppdage mistenkelige aktiviteter i sanntid.
Jamf anbefaler virksomheter og organisasjoner å:
- Sørge for at avanserte trusselkontroller og blokkeringsmoduser er aktivert i sikkerhetsløsninger
- Være spesielt oppmerksom på programvare lastet ned fra ukjente eller obskure kilder
- Fortsette å jobbe med både forebyggende beskyttelse og atferdsbasert analyse for raskt å oppdage nye macOS-trusler.
Global
