Apple hat lange Zeit behauptet, die hauseigenen Rechner seien besonders sicher. Das war auch bis vor kurzem richtig, aber in letzter Zeit häufen sich die Attacken. Apple hat am 6. Juli reagiert und neue Sicherheitsmechanismen angekündigt wie den „Lockdown Mode“.
Aber Spyware für Mac-Rechner steht bei Cyberkriminellen dennoch hoch im Kurs. Nach DazzleSpy (Januar 2022) und Gimmick (März 2022) haben ESET Forscher die bereits dritte Spionage-Malware mit hohem Gefahrenpotenzial aufgedeckt. Die von ESET „CloudMensis“ getaufte, bislang unbekannte Spyware spioniert infizierte Apple-Rechner seit Februar 2022 umfassend aus. Dokumente und Tastatureingaben werden mitgeschnitten, E-Mail-Nachrichten und -Anhänge gespeichert, Dateien von Wechseldatenträgern kopiert und Bildschirmaufnahmen angefertigt.
CloudMensis wurde in der Objective-C Progammiersprache entwickelt. Die analysierten Beispiele wurden sowohl für Intel- als auch für Apple-Silizium-Architekturen kompiliert. Es ist noch nicht klar, wie die Opfer anfangs durch diese Bedrohung kompromittiert werden.
Es steht jedoch fest, dass nach der Codeausführung und der Erlangung von Administrator- bzw. Root-Rechten ein zweistufiger Prozess folgt, bei dem in der ersten Stufe die mit mehr Funktionen ausgestattete zweite Stufe heruntergeladen und ausgeführt wird. Interessanterweise ruft die Malware der ersten Stufe ihre nächste Stufe von einem Cloud-Speicheranbieter ab. Sie verwendet keinen öffentlich zugänglichen Link, sondern enthält ein Zugriffstoken, um die MyExecute-Datei vom Speicher herunterzuladen. In dem von Eset analysierten Sample wurde pCloud für die Speicherung und Bereitstellung der zweiten Stufe verwendet. Die Malware der ersten Stufe lädt die Malware der zweiten Stufe herunter und installiert sie als systemweiten Daemon.
Die zweite Stufe von CloudMensis ist eine viel größere Komponente, die mit einer Reihe von Funktionen ausgestattet ist, um Informationen von dem kompromittierten Mac zu sammeln. Die Absicht der Angreifer besteht hier eindeutig darin, Dokumente, Screenshots, E-Mail-Anhänge und andere sensible Daten zu stehlen.
CloudMensis nutzt Cloud-Speicher sowohl für den Empfang von Befehlen von seinen Betreibern als auch für das Exfiltrieren von Dateien. Er unterstützt drei verschiedene Anbieter: pCloud, Yandex Disk und Dropbox.
Neueste Kommentare
Noch keine Kommentare zu CloudMensis spioniert Macs aus
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.