SIKKERHET

Ny Mac-skadevare bruker «filløse» angrep for å unngå bli fanget opp av antivirus

Sofistikert skadevare.

closeup of a young man typing in a computer keyboard in gloom, with a dramatic effect
closeup of a young man typing in a computer keyboard in gloom, with a dramatic effect Foto: Colourbox/27131526
9. des. 2019 - 09:11

Blant andre nettstedet Ars Technica rapporterer nå om en ny, sofistikert skadevare som retter seg spesifikt til Mac-plattformen, og denne har en egenskap som gjør den svært vanskelig å oppdage.

Den nye skadevaren ble nylig omtalt av Mac-sikkerhetseksperten Patrick Wardle, som i sin analyse peker på at skadevaren benytter såkalt «in-memory execution» for å utføre angrep.

Lagrer ikke på harddisken

Dette er en teknikk som innebærer at det det ikke lagres filer på harddisken, men at den ondsinnede koden i stedet lastes direkte inn i minnet og kjøres derfra. Dette gjør at angrepet er svært vanskelig å fange opp av antivirus-programmer. 

Ifølge sikkerhetsforskeren er det første gang at det er registrert skadevare til Mac-plattformen som har den egenskapen at den kan kjøres rett fra minnet.

Skadevaren er riktignok ikke fullstendig filløs, da den første fasen av angrepet foregår ved å installere det som er forkledd som en kryptovaluta-app med filnavnet UnionCryptoTrader.dmg.

Dette programmet kommer også med et skript som installerer en såkalt «launch daemon», som gjør at programmet overlever omstart og kjøres kontinuerlig. Dette krever riktignok rottilgang, som må gis av brukeren. 

Etter å ha infisert en enhet kontakter denne programvaren  en server som inneholder den andre delen av lasten. Denne lastes så ned og dekrypteres, og deretter brukes macOS-verktøy til å opprette et såkalt filbilde.

Beryktet hackergruppe trolig bak

Dette filbildet brukes til å kjøre den ondsinnede lasten direkte fra minnet uten å noen gang være i kontakt med harddisken på den infiserte Mac-maskinene. Wardle har ikke vært i stand til å få tak i en kopi av denne ondsinnede lasten, så det er ennå uvisst akkurat hva den gjør.

Ifølge sikkerhetseksperten har den nye skadevaren trekk som tyder på at den stammer fra den beryktede nordkoreanske hackergruppen Lazarus. Som digi.no meldte i fjor har Lazarus allerede blitt knyttet til skadevare forkledd som kryptovaluta-programvare – og som også ble rettet mot nettopp Mac-plattformen.

– Lazarus-gruppen fortsetter å rette seg mot macOS-brukere med stadig større ferdigheter, skriver Wardle, men legger til at trusselen denne gangen er noe begrenset.

– Den gode nyheten er at den gjennomsnittlige Mac-brukeren ikke trenger å bekymre seg for å bli målskive for APT-grupper (advanced persistent threat) som Lazarus. I tillegg, siden installasjonspakken – UnionCryptoTrader.pkg – er usignert, vil macOS advare brukeren dersom man prøver å åpne den, skriver sikkerhetsforskeren.

Alle detaljene finner du i denne detaljerte analysen av skadevaren.

I en rapport tidligere i år gikk det frem at det har vært en kraftig økning i skadevare rettet mot Mac-plattformen og bedrifter »

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.