macOS malware gebruikt Dropbox en pCloud voor spionage

macOS malware ESETmacOS malware ESET

macOS-toestellen zijn vatbaar voor nieuwe malware die gebruikmaakt van twee bekende cloudproviders om gebruikers te bespioneren.

Advertentie

ESET-onderzoekers ontdekten een voorheen onbekende macOS-achterdeur die gebruikers van gecompromitteerde Macs bespioneert en uitsluitend openbare cloudopslagservices gebruikt om te communiceren met de operatoren. De malware werd door ESET CloudMensis genoemd en de bedoeling is duidelijk om informatie van de Macs van slachtoffers te verzamelen door documenten en toetsaanslagen te exfiltreren, mailberichten en bijlagen op te lijsten alsook bestanden van verwisselbare en schermafbeeldingen te maken.

macOS malware: CloudMensis

Voor Mac-gebruikers is CloudMensis is een bedreiging, maar zijn zeer beperkte verspreiding suggereert dat het gebruikt wordt als onderdeel van een doelgerichte operatie. ESET zag dat de uitvoerders van deze malwarefamilie CloudMensis implementeren op specifieke doeleinden die voor hen van belang zijn.

Het gebruik van kwetsbaarheden om macOS-beperkingen te omzeilen, laat zien dat kwaadwilligen het succes van hun spionageactiviteiten actief proberen te maximaliseren. Tijdens het onderzoek zijn geen onbekende kwetsbaarheden (zero days) gevonden die door deze groep zouden gebruikt zijn. Het wordt dus aanbevolen een up-to-date Mac te gebruiken om zeker de minder aggresieve bypasses te omzeilen.

Wat doet deze malware?

Zodra CloudMensis code-uitvoering en beheerdersrechten verkrijgt, voert het een eerste-fase malware uit die in een tweede fase meer functionele zaken uit een cloudopslagservice ophaalt.

Deze tweede fase is een veel groter component, boordevol functies om informatie van de gecompromitteerde Mac te verzamelen. De bedoeling van de aanvallers is hier duidelijk om documenten, screenshots, mailbijlagen en andere gevoelige gegevens te exfiltreren. In totaal zijn er momenteel 39 commando’s beschikbaar.

CloudMensis gebruikt cloudopslag zowel voor het ontvangen van opdrachten van zijn operatoren als voor het exfiltreren van bestanden. Het ondersteunt drie verschillende providers: pCloud, Yandex Disk en Dropbox. In het geanalyseerde voorbeeld bevat de configuratie authenticatietokens voor pCloud en Yandex Disk.

Metadata van de gebruikte cloudopslagdiensten onthullen interessante details over de operatiet die vanaf 4 februari 2022 commando’s naar de bots begon te verzenden.

Apple erkende onlangs de aanwezigheid van spyware gericht op gebruikers van zijn producten en geeft previews van de Lockdown-modus op iOS, iPadOS en macOS. Deze schakelt functies uit die vaak misbruikt worden om code-uitvoering te verkrijgen en malware te implementeren.

Kennisgeving: Voor dit product is een JavaScript vereist.

Bron: Techpulse.be