Jamf Threat Labs har nyligen identifierat en skadlig programvara riktad mot MacOS-användare, med starka likheter till BlueNoroffs tidigare Rustbucket-kampanj. Trots sin enkla design visar sig programvaran vara högst effektiv. Sara Fernholm, säkerhetsexpert på Jamf, ger insikt i händelsen och delar viktiga åtgärder för att skydda sig mot detta nya hot.
Misstankarna pekar mot den nordkoreanska gruppen BlueNoroff som ansvarig för programvaran. Denna grupp är känd för Advanced Persistent Threats och har tidigare riktat in sig på kryptovalutarelaterade företag. Programvaran, tidigare oidentifierad, tillåter angriparna att agera i bakgrunden när användaren är online.
BlueNoroff använder beprövade sociala manipulationsmetoder och undviker antivirusdetektion genom att använda ny skadlig programvara. Denna skadeprogramvara är specifik för MacOS, men liknande attacker har observerats mot Windows-datorer från samma aktör.
Upptäckten av skadeprogrammet skedde när det kommunicerade med en domän tidigare klassificerad som skadlig av Jamf. Det grönmärktes dock på VirusTotal, vilket kunde ha lett till att programmet passerade obemärkt om det inte hade undersökts närmare.
Huvudrisken med programvaran är dess förmåga att möjliggöra fjärrkommandon, vilket kan leda till införande av farliga nyttolaster i systemet. BlueNoroffs huvudmål är att använda dessa fjärrkommandon för att stjäla kryptovaluta.
Även om skadeprogrammet är relativt enkelt i sin funktionalitet, är det svårt att övertyga offer att köra det och ge nödvändiga behörigheter. Företag bör inte anta att Mac-datorer är immuna mot skadlig programvara och bör träna användare, inklusive utvecklare och teknisk personal, i att känna igen social manipulation.
Vid upptäckt av ett angrepp rekommenderas en grundlig utredning av ett professionellt incidenthanteringsteam för att spåra och säkra systemet från eventuella konsekvenser.