Ifølge Sara Fernholm, sikkerhedsekspert hos Jamf, er man hos Jamf Threat Labs ret sikker på, at den nordkoreanske gruppe BlueNoroff står bag den skadelige software. Blue Noroff, som er en undergruppering under den berygtede ”Lazarus Group”, er i forvejen ansvarlig for mange såkaldte Advanced Persistent Threats, der ofte af økonomiske grunde rettes mod kryptobørser, risikovirksomheder og banker.

- I løbet af de seneste måneder har mange forskellige sikkerhedsfirmaer bemærket, at Blue Noroff udfører angreb mod virksomheder med det formål at stjæle kryptovaluta. Nu har Jamf Threat Labs opdaget skadelig software, som ikke tidligere har været kendt, og som bruges til netop sådanne angreb. Softwaren giver angriberne mulighed for at ”overtage” computeren, mens brugeren er forbundet til internettet, siger Sara Fernholm.

Blue Noroff-gruppen undgår ifølge Sara Fernholm at blive opdaget af antivirusprogrammer ved at bruge tidligere ukendt skadelig software.

- Dette kan ses som et tegn på, at deres arsenal af skadelig software er meget omfattende.

Især Mac-brugere er i fare

Den specifikke skadelige software, som Jamf Threat Labs netop har opdaget, fungerer kun på MacOS, og dermed er især Mac-brugere i fare for at blive angrebet.

- Vi ved dog, at andre udbydere har opdaget lignende angreb fra samme aktør, hvor angrebene har været rettet mod Windows-computere, siger Sara Fernholm.

Jamf Threat Labs identificerede programmet, da det kommunikerede med et domæne, som Jamf tidligere havde klassificeret som mistænkeligt. Da Jamf Threat Labs analyserede problemet mere tilbundsgående, blev man opmærksom på selve den skadelige software. Jamf Threat Labs har efterfølgende arbejdet på at informere og beskytte berørte brugere og organisationer mod truslen.