Hacking Teams signatur-software florerer i ny malware til Mac

Sikkerhedseksperter er faldet over en malware til Mac, der kunne tyde på, at det kontroversielle firma Hacking Team kunne være på spil.

Et nyt stykke malware går efter Mac-computere. Og hvad mere interessant er, så kunne noget tyde på, at det italienske og kontroversielle foretagende Hacking Team har noget med det at gøre.

Det fortæller Ars Technica.

Hacking Team blev omtalt sidste år efter at være blevet hacket. Resultatet af hacket var at gigabyte af lækkede data fra virksomheden blev offentliggjort. Virksomheden havde specialiseret sig i at sælge forskellige former for hackerværktøjer til blandt andet myndigheder rundt om i verden.

Også Rigspolitiet i Danmark viste sig på baggrund af lækket at være på Hacking Teams kundeliste.

Den aktuelle Mac-malware blev uploadet til Googles VirusTotal i starten af februar, hvor den ikke blev fanget af nogen af de registrerede anti-virusprodukter.

Og umiddelbart inden en rapport om malwaren, der blev frigivet i går, mandag, blev den ondsindede software kun registreret af 10 ud af 56 antivirusprodukter.

Det er sikkerhedsforsker Pedro Vilaça fra SentinelOne, der står bag rapporten.

Han kan fortælle, at malware-installeren er opdateret i oktober eller i november, og at softwaren indeholder en krypteringsnøgle, der er dateret 16. oktober. Det er tre måneder efter, Hacking Team blev kompromitteret.

Når den aktuelle malware peger i retning af Hacking Team, så er det fordi, softwaren installerer, hvad der bliver beskrevet som HackingTeams signatur platform til fjernkomrpomittering af systemer (eng. Remote Code Systems compromise platform).

‘Still alive and kicking’

Og det får Pedro Vilaça til at konkludere, at HackinTeam 'is still alive and kicking'. Vilaça påpeger dog også, at han ikke entydigt kan konkludere, at det faktisk er Hacking Team, der står bag den Mac-malwaren.

Ikke mindst fordi hacket mod virksomheden, der fandt sted i juli 2015, også betød, at kildekoden til Remote Code Systems-softwaren blev lækket. Så andre kan altså i princippet have brygget videre på den del.

En anden ekspert, Patrick Wardle, har også kigget på malwaren. Og ifølge ham bruger malwaren flere avancerede tricks for at undgå at blive opdaget på det system, den inficerer. Eksempelvis anvender malwaren Apples native-system til kryptering for at beskytte indholdet af dens binære filer.

Og det er første gang Wardle af observeret sådan en adfærd. Det var dog trivielt for ham at dekryptere filerne eftersom Apple her anvender en hardcoded nøgle. Nøglen - 'ourhardworkbythesewordsguardedpleasedontsteal(c)AppleComputerInc' skulle være almindelig kendt blandt reverse engineering-folk. Og tilsyneladende også blandt folk i al almindelighed, kunne en Google-søgning tyde på.

Det er uvist præcist hvilken metode malwaren benytter for at snige sig ind på Macs. Folk kan finde ud af, om deres computer er inficeret ved at tjekke, om den har en fil kaldet Bs-V7qIU.cYL der skulle ligge i ~/Library/Preferences/8pHbqThW/

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017