Mac malware trendek: miért ugrott meg az Atomic Stealer és hogyan függ össze a trojanokkal?

Ha van valami, amitől az embernek összerándul a gyomra a Mac világgal kapcsolatban, az nem a frissítések unalmas körforgása, hanem a biztonsági statisztikák. A mostani trendek alapján aMac malwarevédelme egyre kevésbé “csak vírusok” kérdése. Hanem kategóriák összemosódásáé. És őszintén: kinek volt kedve az elmúlt években különbséget tenni trojan, infostealer meg hasonló fogalmak között? Most úgy tűnik, erre nincs is igazán idő.

9to5Mac Security Bitealapján a Jamf legfrissebb Security 360 riportjának egyik legnagyobb kijelentése az, hogy a trojan malware-ek máraz összes Mac malware észlelésének több mint 50%-átadják. Ez durva ugrás: nagyjából17% körülrőlegy év alatt. Közben az infostealerek sem tudták “megtartani” az első helyet.

Mi történik a Mac malware piacon? Blurred lines, azaz elmosódó kategóriák

Ránézésre ez olyan, mintha a támadók egyszerűen csak “áttolták volna” a fókuszt a trojanokra. De a cikk lényege ennél sokkal kellemetlenebb. Mert valójában nem is az van, hogy hirtelen mindenki trojant ír. Hanem van egyetlen domináns család, ami több szerepben is tarol.

Na, és ez az a pont, ahol felmerül a kérdés:nem túl leegyszerűsített eddig a gondolkodásunk?Ha a malware-ek viselkedése és célja egyre inkább átjárható, akkor a kategóriák (trojan vs. infostealer) csak kényelmes címkék lesznek. A védekezésnél viszont nem címkéket kell nézni, hanem mintázatokat.

Atomic Stealer: a “dupla besorolás” átírja a fenyegetési térképet

A Jamf riportja szerint egy konkrét malware család, azAtomic Stealerlett a legfontosabb szereplő. És itt jön az a rész, aminél muszáj megállni: az Atomic Stealer egyszerre van a trojan kategória és az infostealer kategória tetején.

Ez a “dupla besorolás” azt sugallja, hogy ugyanaz a támadói technika több célt is szolgálhat. Magyarul: lehet, hogy valaki bejön (trojan jelleg), majd közben elkezd adatokat gyűjteni (infostealer jelleg). Közben pedig a felület, azaz a támadás UI-ja (értsd: a támadás “színpadra állítása”) teljesen mindegy, ha a végén a kár ugyanaz.

Vélemény:szerintem ez az egyik legfontosabb üzenet a Mac biztonsági világnak. Nem a kategórianevek fogják megmenteni a gépeket, hanem az, hogy milyen mozgást lát a védelem: parancsfuttatás, jogosultságok, gyanús beavatkozás, adatszivárgás irányába mutató jelek.

Mit jelent ez neked a gyakorlatban? Kevesebb “tesztvírus”, több holisztikus védelem

Ha otthoni felhasználó vagy, könnyű azt hinni, hogy “nekem ez nem téma”. De ha dolgoztál már céges környezetben, tudod, hogy azakada baj igazán: nem akkor, amikor valaki kattint, hanem amikor a környezet későn kap választ.

Például ilyenkor szokott jönni a klasszikus forgatókönyv: van egy géppark, “többnyire up-to-date”, aztán valamikor hónapok múlva derül ki, hogy egy korábbi esemény láncolata végigfutott. És persze ilyenkor már nincs is olyan egyszerű visszamenni.

Ha vállalati IT-s szemmel nézzük, az Atomic Stealer-féle mintákra reagálni akkor lesz igazán hatékony, ha nem csak aláírásokkal vadászol, hanem behúzod a kockázatkezelést is: eszközkezelés, jogosultságmenedzsment, gyanús viselkedés alapú ellenőrzés.

Kell még egy kérdés? Mennyi ideig marad “címke” a trojan, infostealer?

Őszintén: meddig fogjuk “külön történetként” kezelni a malware családokat? Ha egy támadási család képes egyszerre több kategóriát is lefedni, akkor a védelemnek is alkalmazkodnia kell.Nem hangzatos kampányokból lesz biztonság, hanem finomhangolt kontrollokból.

Szóval igen, az, hogy a trojanok aránya50% felettvan, önmagában is riasztó. De az igazi tanulság az, hogy a Mac malware trendek mögött egyre inkább kevés szereplő, sokféle viselkedés áll. És ha ezt nem így látod, könnyen rossz helyre teszed a hangsúlyt.

Te hogy állsz ezzel? Otthon “rábízod” a biztonságot az aktuális frissítésekre, vagy vállalati környezetben már inkább a mintázatokat és a policy-kat nézed? Én azt hiszem, a következő hónapokban ez a kérdés mindenkinél aktuálisabb lesz.