Hacking Teams signatur-software florerer i ny malware til Mac

Sikkerhedseksperter er faldet over en malware til Mac, der kunne tyde på, at det kontroversielle firma Hacking Team kunne være på spil.

Et nyt stykke malware går efter Mac-computere. Og hvad mere interessant er, så kunne noget tyde på, at det italienske og kontroversielle foretagende Hacking Team har noget med det at gøre.

Det fortæller Ars Technica.

Hacking Team blev omtalt sidste år efter at være blevet hacket. Resultatet af hacket var at gigabyte af lækkede data fra virksomheden blev offentliggjort. Virksomheden havde specialiseret sig i at sælge forskellige former for hackerværktøjer til blandt andet myndigheder rundt om i verden.

Også Rigspolitiet i Danmark viste sig på baggrund af lækket at være på Hacking Teams kundeliste.

Den aktuelle Mac-malware blev uploadet til Googles VirusTotal i starten af februar, hvor den ikke blev fanget af nogen af de registrerede anti-virusprodukter.

Og umiddelbart inden en rapport om malwaren, der blev frigivet i går, mandag, blev den ondsindede software kun registreret af 10 ud af 56 antivirusprodukter.

Det er sikkerhedsforsker Pedro Vilaça fra SentinelOne, der står bag rapporten.

Han kan fortælle, at malware-installeren er opdateret i oktober eller i november, og at softwaren indeholder en krypteringsnøgle, der er dateret 16. oktober. Det er tre måneder efter, Hacking Team blev kompromitteret.

Når den aktuelle malware peger i retning af Hacking Team, så er det fordi, softwaren installerer, hvad der bliver beskrevet som HackingTeams signatur platform til fjernkomrpomittering af systemer (eng. Remote Code Systems compromise platform).

‘Still alive and kicking’

Og det får Pedro Vilaça til at konkludere, at HackinTeam 'is still alive and kicking'. Vilaça påpeger dog også, at han ikke entydigt kan konkludere, at det faktisk er Hacking Team, der står bag den Mac-malwaren.

Ikke mindst fordi hacket mod virksomheden, der fandt sted i juli 2015, også betød, at kildekoden til Remote Code Systems-softwaren blev lækket. Så andre kan altså i princippet have brygget videre på den del.

En anden ekspert, Patrick Wardle, har også kigget på malwaren. Og ifølge ham bruger malwaren flere avancerede tricks for at undgå at blive opdaget på det system, den inficerer. Eksempelvis anvender malwaren Apples native-system til kryptering for at beskytte indholdet af dens binære filer.

Og det er første gang Wardle af observeret sådan en adfærd. Det var dog trivielt for ham at dekryptere filerne eftersom Apple her anvender en hardcoded nøgle. Nøglen - 'ourhardworkbythesewordsguardedpleasedontsteal(c)AppleComputerInc' skulle være almindelig kendt blandt reverse engineering-folk. Og tilsyneladende også blandt folk i al almindelighed, kunne en Google-søgning tyde på.

Det er uvist præcist hvilken metode malwaren benytter for at snige sig ind på Macs. Folk kan finde ud af, om deres computer er inficeret ved at tjekke, om den har en fil kaldet Bs-V7qIU.cYL der skulle ligge i ~/Library/Preferences/8pHbqThW/

Følg forløbet

Kommentarer (0)

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen