Jamf Threat Labs גילתה זן תוכנות זדוניות חדש שנראה כאילו קשור ל-BlueNoroff, קבוצה שלעתים קרובות תוקפת עסקים במגזר הפיננסי.
הגילוי הגיע במהלך הבדיקות הביטחוניות הרגילות של Jamf. הם מצאו תוכנה עבורמקמחשבים מתחברים בחשאי לדומיין אינטרנט זדוני ידוע, אם כי Jamfלא הזכירתוכנית מסוימת שמשתמשי Mac צריכים להיות מודעים אליה.
מה שהפך את הממצא למסקרן במיוחד הוא שהתוכנה הזו לא זוהה כאיום על ידי VirusTotal, אתר פופולרי המשמש לבדיקת קבצים חשודים, בזמן ההעלאה על ידי Jamf.
התוכנית מוסווית בחוכמה, תוך שימוש בחתימה דיגיטלית שנראית בהתחלה לגיטימית. הוא מתקשר עם שרת שאמנם נראה משויך לפלטפורמת מטבעות קריפטוגרפיים לגיטימיים, אך נשלט על ידי התוקפים.
מהלך החתימה של BlueNoroff
שיטת הפעולה עולה בקנה אחד עם האסטרטגיות הקבועות של קבוצת BlueNoroff. אלה כרוכים בדרך כלל ביצירת דומיינים מזויפים המשקפים חברות בעלות מוניטין, מה שעוזר להן להתחמק מגילוי ולפתות את המטרות שלהן.
תחום ההונאה הוקם בסוף מאי 2023, והתוכנה הזדונית משתמשת בו כדי לשלוח ולקבל מידע. הניתוח של Jamf גילה שבזמן שהם חוקרים, השרת מאחורי הדומיין הפסיק להגיב, אולי בגלל שהתוקפים התוודעו לבדיקה.
ניתוח נוסף של Jamf הצביע על כך שהתוכנה הזדונית תוכננה באמצעות Objective-C, שפת תכנות המשמשת לתוכנת Mac. התוכנה הזדונית פועלת כמו שלט רחוק עבור המחשב הנגוע, ומאפשרת לתוקפים לשלוח פקודות ולשלוט במערכת לאחר שהם פרצו אותה.
עם ההפעלה, התוכנה הזדונית שולחת אות לתחום הנשלט על ידי התוקף, ומסווה את התקשורת שלו כתעבורת אינטרנט רגילה. הוא גם אוסף ושולח מידע על המחשב הנגוע, כגון גרסת ה-macOSמערכת הפעלה שהיא פועלת.
למרות הפשטות שלה, התוכנה הזדונית יעילה ומתיישרת עם הגישה של BlueNoroff של שימוש בכלים פשוטים כדי לחדור ולתפעל מערכות שנפגעו. Jamf קרא לאיום המסוים הזה "ObjCShellz" ורואה בו חלק מהגדול יותרקמפיין RustBucket, שעוקב אחר הפעילויות של BlueNoroff.
כיצד משתמשי Mac יכולים להגן על עצמם מפני ObjCShellz
משתמשי Mac יכולים להגן על עצמם מפני תוכנות זדוניות על ידי עדכון מערכות ההפעלה והאפליקציות שלהם. חשוב להוריד אפליקציות ממקורות מוכרים כמו חנות האפליקציות של Mac או אתרי האינטרנט של המפתחים.
זהירות עם קבצים מצורפים וקישורים לדוא"ל, שימוש בחומת האש המובנית והתקנת אפליקציות מ-Mac App Store או מפתחים מוכרים יכולים גם הם לעזור. גיבויים קבועים, סיסמאות חזקות וייחודיות המנוהלות על ידי מנהל סיסמאות ושמירה על ערנות לסימני פישינג הם קריטיים.
לבסוף, ניטור חשבונות פיננסיים עבור עסקאות לא מורשות יכול לזהות הפרות פוטנציאליות מוקדם.
