VeryMal Mac-attack döljer data i en bild
En ny distributionskampanj för skadlig programvara som kallas “VeryMal” använder en gammal teknik som kallas steganografi – döljande av hemlig information i vanlig syn – för att distribuera skadlig programvara från Mac.
VeryMal-kampanjen fångades och distribuerade OSX / Shlayer, som ursprungligen upptäcktes av Intego-forskare för ett år sedan.
OSX / Shlayer-skadlig programvara maskeras fortfarande som en falsk Flash Player.
Vad gör denna malware-kampanj unik?
Trots att begreppet steganografi har funnits i hundratals år är det inte något vi ser i många Mac-skadliga kampanjer.
VeryMal-kampanjen använde en smart utformad JavaScript-kod för att leta efter hemlig information lagrad i en till synes oskadlig JPEG-bildfil. Den dolda informationen berättar webbplatsen vart den ska gå för att hitta skadlig kod.
För blotta ögat ser bilden ut som en vanlig, vit rektangel. Upphovsman: Stein
Varför gå till alla dessa problem? I teorin är det svårare för slutpunktsskydd och nätverksövervakningsprogram att använda steganografi eller andra fördunkningstekniker för att fastställa att något misstänkt kan hända.
I praktiken hindrar dock denna knepiga taktik inte väldesignade antivirusprogram som VirusBarrier X9 från att hålla användarna säkra.
Är min Mac infekterad?
Användare av Intego VirusBarrier X9 (del av Integos Mac Premium Bundle X9-svit) eller Flextivity var redan skyddade från detta hot innan upptäckten av VeryMal-kampanjen.
Om du inte är VirusBarrier X9-användare och du tror att du kanske har laddat ner en falsk Flash Player, kan du skanna din Mac med VirusBarrier Scanner (tillgänglig gratis i Mac App Store) för att kontrollera om det finns infektioner. När du har skannat din Mac, är det bästa alternativet att förhindra framtida infektioner är att få VirusBarrier X9, som inkluderar realtidsskanningsfunktionalitet – en viktig funktion för att blockera skadlig kod innan den kan skada din Mac.
Hur sysadmins kan hitta potentiellt infekterade Mac-datorer
Om du är systemadministratör och vill söka efter potentiellt infekterade Mac-datorer i ditt nätverk kan du kontrollera om några Mac-datorer ringde hem till någon av följande platser runt mitten av januari (ta bort utrymmet före varje .com):
veryield-malyst .com s.ad-pixel .com/sscc.jpg
Hur kan jag lära mig mer?
För mer teknisk information om skadlig programvara kan du läsa Eliya Steins skrivning.
Varje vecka pratar vi om de senaste Apples säkerhetsnyheter på Intego Mac Podcast, så se till att prenumerera så att du inte missar några avsnitt. Du vill också prenumerera på vår e-post nyhetsbrev och håll ett öga här Mac-säkerhetsbloggen för uppdateringar.
Om Joshua Long
Joshua Long (@theJoshMeister), Integos Chief Security Analyst, är en känd säkerhetsforskare, författare och talare. Josh har en magisterexamen i IT-koncentration inom Internetsäkerhet och har tagit doktorsexamen i informationssäkerhet. Apple har offentligt erkänt Josh för att ha upptäckt en sårbarhet för Apple ID-autentisering. Josh har genomfört cybersäkerhetsforskning i mer än 20 år, som ofta har presenterats av stora nyhetsbutiker världen över. Leta efter fler av Joshs artiklar på security.thejoshmeister.com och följ honom på Twitter. Visa alla inlägg av Joshua Long → Det här inlägget postades i skadlig programvara och taggades OSX / Shlayer. Bokmärk permalänken.
