13-05-2023

Mac-brugere skydeskive for nye cyberangreb

Amerikanske Jamf Threat Labs har identificeret en ny malware rettet mod MacOS-brugere. Softwaren, der går under navnet Rustbucket, kommunikerer med eksterne servere for at downloade og udføre malware. En trusselsaktør med forbindelser til den berygtede Lazarus-gruppe, finansieret af Nordkorea, står højst sandsynligt bag.

Jamf Threat Labs har for nylig identificeret den nye cybertrussel Rustbucket. Malwaren var blevet indlejret i en Applescript-fil i en PDF-fremviser-app ved navn Internal PDF Viewer.app.

Sådan fungerer malwareprogrammet

Angrebet begynder med at snyde brugeren til at downloade PDF-appen, men det er først, når den "korrekte" PDF-fil åbnes, at softwaren kontakter angriberne og igangsætter kommunikationen mellem dem og malwaren. Mange forskellige PDF-filer bruges til at starte kommunikation i tilsvarende angreb mod Windows-enheder, men indtil videre er der kun opdaget én type PDF-fil, der påvirker MacOS. Der er sikkert flere derude, mener Jamf Threat Labs.

PDF-dokumentet, der blev identificeret i Rustbucket-angrebene, er et 9-siders dokument, som indeholder oplysninger fra, hvad der ser ud til at være et lille, legitimt venturekapitalfirma interesseret i at investere i forskellige teknologiske startups.

Når PDF-fremviser-appen er installeret, har RustBucket mulighed for at downloade yderligere ondsindede komponenter, hvilket giver angriberne mulighed for at tage kontrol over det inficerede system.

Lignende angreb påvirker også Windows

Gruppen, der mistænkes for at stå bag Rustbucket-kampagnen, er den nordkoreanske statsfinansierede cybertrusselsaktør Bluenoroff. Bluenoroff menes at være en undergruppe af den berygtede Lazarus-gruppe, som længe har rettet angreb mod Apple-enheder.

Bluenoroff er kendt for at gå efter finansielle institutioner såsom venturekapitalfirmaer, krypto-startups og banker. At gruppen associeres med den nye cybertrussel skyldes, at der er ligheder med angreb, som tidligere har ramt Windows-enheder. For at angribe Windows oprettede gruppen falske domæner, der efterlignede venturekapitalfirmaer og banker, hvilket er i overensstemmelse med den sociale teknik, som nu også er blevet brugt til at angribe MacOS. Som med RustBucket brugte Windows-angrebene også en PDF-fil, der var specielt designet til formålet.

- Efterhånden som brugen af Apple-enheder stiger i virksomhederne, er det sandsynligt, at vi både vil se flere angreb rettet mod MacOS-systemer og flere MacOS-specialiserede APT-grupper. Vores løsning Jamf Protect beskytter mod de ondsindede komponenter i RustBucket-programmet og blokerer ondsindede domæner. Vi vil fortsat nøje overvåge BlueNoroffs aktiviteter, siger Sara Fernholm, Key Account Manager og sikkerhedsekspert hos Jamf Threat Labs.

Sådan beskytter du dig selv

Det er ikke helt klart, hvordan RustBucket spreder sig. Det er dog sandsynligt, at malwaren distribueres via phishing-e-mails, hvor brugeren bliver narret til at tro, at PDF-appen er sikker at downloade og køre.

- I øjeblikket er det kun få sikkerhedsleverandører, der kan registrere begge stadier af Rustbucket. Det er derfor vigtigt, at brugerne udviser forsigtighed, når de åbner vedhæftede filer eller downloader software. Operativsystemer og sikkerhedssoftware bør også holdes ajour for at mindske risikoen for at blive ramt, og MacOS-systemets Gatekeeper bør til enhver tid være aktiv, kommenterer Sara Fernholm.



Nyheder fra forsiden
Til "Samfund"  
Leverandører
Ændre marked
Sverige Danmark
Tilbage til toppen
Luk

Abonner på vores nyhedsbrev!


Med vores nyhedsbrev kan du få de seneste nyheder fra sikkerhedsmarkedet. Nyhedsbrevet sendes ugentligt, og du kan afmelde dig, når du ønsker det.