Onderzoekers van het beveiligingsbedrijf ESET hebben een nieuw soort malware ontdekt, bekend als CloudMensis. Dit maakt gebruik van macOS-systemen om gebruikers te bespioneren en hun privégegevens te stelen, inclusief documenten, e-mailbijlagen en toetsaanslagen. De malware kan ook worden gebruikt om schermafbeeldingen op het apparaat van een slachtoffer te maken.
CloudMensis Backdoors macOS-apparaten om gegevens te stelen
Er is vastgesteld dat CloudMensis-malware misbruik maakt van openbaar beschikbare cloudopslagproviders zoals DropBox, pCloud en Yandex Disk om een bepaald macOS-systeem te infiltreren en gebruikersgegevens te stelen. In een post over CloudMensis, beschreef ESET het als een "voorheen onbekende macOS-achterdeur".
Omdat CloudMensis Apple's MacOS Transparency Consent and Control (TCC) kan omzeilen, heeft het de mogelijkheid om de activiteit van een gebruiker op zijn macOS-apparaat in realtime te bekijken en gegevens uit cloudopslag te halen programma's. De lange lijst met bewakingsopdrachten van CloudMensis stelt het ook in staat om een reeks acties uit te voeren op het apparaat van een bepaald slachtoffer zonder hun toestemming of medeweten.
Deze mogelijkheid om Apple's macOS TCC te omzeilen suggereert dat CloudMensis geenszins een basistype malware is. Het niveau van verfijning is eerder zorgwekkend.
CloudMensis richt zich mogelijk op hoogwaardige apparaten
Hoewel CloudMensis officieel werd ontdekt in april 2022, gaat de eerste geregistreerde aanval terug tot twee maanden eerder, op 4 februari. Tussen die tijd en april zijn slechts 51 gebruikers het slachtoffer geworden van deze malware.
Hoewel het misschien opgelucht klinkt dat zo'n klein aantal slachtoffers tot nu toe is getroffen door CloudMensis-malware, suggereert dit dat de operators zich richten op specifieke gebruikers om aan te vallen. Dus in plaats van de malware te verspreiden naar een computer die deze accepteert, gaan deze aanvallers waarschijnlijk naar individuen die iets waardevols te stelen hebben.
CloudMensis-operators lijken onbekend met macOS
Hoewel CloudMensis duidelijk een van de meer geavanceerde is soorten malware, lijkt het erop dat de operators niet goed thuis zijn in macOS-systemen. We weten dit omdat hun ervaring met Objective-C-codering (een taal die wordt gebruikt voor OS X- en iOS-ondersteunde apparaten) vrij eenvoudig lijkt. Maar dit betekent niet dat CloudMensis nog steeds geen risico vormt voor macOS-gebruikers.
CloudMensis blijft een bedreiging vormen
Hoewel ESET heeft gemeld dat er op het moment van schrijven geen zero-day exploits met CloudMensis zijn geregistreerd, vormt deze malware nog steeds een ernstige bedreiging voor macOS-gebruikers.
ESET is nog bezig om te bepalen hoe deze malware in eerste instantie wordt verspreid en waarom bepaalde gebruikers het doelwit zijn, wat betekent dat er in de toekomst meer aanvallen kunnen plaatsvinden. Gebruikers is geadviseerd om hun macOS-software up-to-date te houden om de beveiligingsniveaus van hun apparaten te maximaliseren.
