Onbekende macOS-achterdeur ontdekt

MacOS online persoonsgegevens

Onderzoekers ontdekten een tot nu toe onbekende macOS-achterdeur die gebruikers van gecompromitteerde Macs bespioneert. En die uitsluitend openbare cloudopslagservices gebruikt om te communiceren met de operatoren. Securityspecialist ESET noemt de kwetsbaarheid ‘CloudMensis’.

De bedoeling van de operatoren is duidelijk om informatie van de Macs van slachtoffers te verzamelen. Dit, door documenten en toetsaanslagen te scannen. Daarnaast om mailberichten en bijlagen te verzamelen.

Doelgerichte operatie

Voor Mac-gebruikers is CloudMensis een bedreiging, maar zijn zeer beperkte verspreiding suggereert dat het gebruikt wordt als onderdeel van een doelgerichte operatie. ESET Research zag dat de operatoren van deze malwarefamilie CloudMensis implementeren op specifieke doeleinden die voor hen van belang zijn.

Het gebruik van kwetsbaarheden om macOS-beperkingen te omzeilen, laat zien dat de operatoren het succes van hun spionageactiviteiten actief proberen te maximaliseren. Tijdens het onderzoek zijn geen onbekende kwetsbaarheden (zero days) gevonden die deze groep gebruiken. Het wordt dus aanbevolen steeds het MacOS te updaten.

Twee fases

Zodra CloudMensis code-uitvoering en beheerdersrechten verkrijgt, voert het een eerste-fase malware uit die in een tweede fase meer functionele zaken uit een cloudopslagservice ophaalt. Deze tweede fase is een veel grotere component, boordevol functies om informatie van de gecompromitteerde Mac te verzamelen. De bedoeling van de aanvallers is hier duidelijk om documenten, screenshots, mailbijlagen en andere gevoelige gegevens te stelen.

CloudMensis gebruikt cloudopslag zowel voor het ontvangen van opdrachten van zijn operatoren als voor het scannen van bestanden. Het ondersteunt drie verschillende providers: pCloud, Yandex Disk en Dropbox.

Metadata van de gebruikte cloudopslagdiensten onthullen interessante details over de operatie, die vanaf 4 februari 2022 commando’s naar de bots begon te verzenden.

Lockdown-modus

Apple erkende onlangs de aanwezigheid van spyware gericht op gebruikers van zijn producten en geeft previews van de Lockdown-modus op iOS, iPadOS en macOS. Deze schakelt functies uit die vaak misbruikt worden om code-uitvoering te verkrijgen en malware te implementeren.

Gerelateerde berichten...