CloudMensis spioniert Macs aus

Apple hat lange Zeit behauptet, die hauseigenen Rechner seien besonders sicher. Das war auch bis vor kurzem richtig, aber in letzter Zeit häufen sich die Attacken. Apple hat am 6. Juli reagiert und neue Sicherheitsmechanismen angekündigt wie den „Lockdown Mode“.

Aber Spyware für Mac-Rechner steht bei Cyberkriminellen dennoch hoch im Kurs. Nach DazzleSpy (Januar 2022) und Gimmick (März 2022) haben ESET Forscher die bereits dritte Spionage-Malware mit hohem Gefahrenpotenzial aufgedeckt. Die von ESET „CloudMensis“ getaufte, bislang unbekannte Spyware spioniert infizierte Apple-Rechner seit Februar 2022 umfassend aus. Dokumente und Tastatureingaben werden mitgeschnitten, E-Mail-Nachrichten und -Anhänge gespeichert, Dateien von Wechseldatenträgern kopiert und Bildschirmaufnahmen angefertigt.

CloudMensis wurde in der Objective-C Progammiersprache entwickelt. Die analysierten Beispiele wurden sowohl für Intel- als auch für Apple-Silizium-Architekturen kompiliert. Es ist noch nicht klar, wie die Opfer anfangs durch diese Bedrohung kompromittiert werden.

Es steht jedoch fest, dass nach der Codeausführung und der Erlangung von Administrator- bzw. Root-Rechten ein zweistufiger Prozess folgt, bei dem in der ersten Stufe die mit mehr Funktionen ausgestattete zweite Stufe heruntergeladen und ausgeführt wird. Interessanterweise ruft die Malware der ersten Stufe ihre nächste Stufe von einem Cloud-Speicheranbieter ab. Sie verwendet keinen öffentlich zugänglichen Link, sondern enthält ein Zugriffstoken, um die MyExecute-Datei vom Speicher herunterzuladen. In dem von Eset analysierten Sample wurde pCloud für die Speicherung und Bereitstellung der zweiten Stufe verwendet. Die Malware der ersten Stufe lädt die Malware der zweiten Stufe herunter und installiert sie als systemweiten Daemon.

Die zweite Stufe von CloudMensis ist eine viel größere Komponente, die mit einer Reihe von Funktionen ausgestattet ist, um Informationen von dem kompromittierten Mac zu sammeln. Die Absicht der Angreifer besteht hier eindeutig darin, Dokumente, Screenshots, E-Mail-Anhänge und andere sensible Daten zu stehlen.

CloudMensis nutzt Cloud-Speicher sowohl für den Empfang von Befehlen von seinen Betreibern als auch für das Exfiltrieren von Dateien. Er unterstützt drei verschiedene Anbieter: pCloud, Yandex Disk und Dropbox.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago