Onderzoekers van beveiligingsbedrijf ESET hebben een voorheen onbekende macOS-backdoor ontdekt die gebruikers van gecompromitteerde Macs bespioneert en uitsluitend gebruik maakt van publieke cloudopslagdiensten om heen en weer te communiceren met zijn operators. De mogelijkheden van de malware, door ESET CloudMensis genoemd, laten zien dat het de bedoeling van de operators is om informatie te verzamelen van de Macs van de slachtoffers. De malware kan onder meer documenten en toetsaanslagen detecteren, e-mailberichten en bijlagen inventariseren, bestanden van verwijderbare opslag noteren en schermopnames maken.
ESET constateert dat CloudMensis vooral wordt gebruikt voor een doelgerichte operatie, want de verspreiding is beperkt. Op basis van wat ESET Research heeft gezien, zetten operators van deze malware-familie CloudMensis in op specifieke doelwitten die voor hen van belang zijn. “Het gebruik van kwetsbaarheden om macOS-mitigaties te omzeilen toont aan dat de malwarebeheerders actief proberen om het succes van hun spionageoperaties te maximaliseren. Tegelijkertijd werden tijdens ons onderzoek geen niet-openbaar gemaakte kwetsbaarheden (zero days) gevonden die door deze groep werden gebruikt. Het is dus aan te raden om een up-to-date Mac te gebruiken om in ieder geval de omzeilingen van de kwetsbaarheden te voorkomen.”
“We weten nog steeds niet hoe CloudMensis in eerste instantie wordt verspreid en wie de doelwitten zijn. De algemene kwaliteit van de code en het gebrek aan verberging laat zien dat de auteurs misschien niet erg bekend zijn met Mac-ontwikkeling en niet zo geavanceerd zijn. Desalniettemin zijn er veel middelen gestoken om van CloudMensis een krachtig spionagetool en een dreiging voor potentiële doelwitten te maken,” verklaart ESET-onderzoeker Marc-Etienne Léveillé, die CloudMensis analyseerde.
Zodra CloudMensis de mogelijkheid tot code-uitvoering en administratieve privileges van de geïnfecteerde Mac heeft verkregen, voert het een eerstefasemalware uit die een tweedefasemalware met meer mogelijkheden ophaalt van een cloudopslagdienst. Deze tweede fase is een veel grotere component, volgestopt met een aantal functies om informatie te verzamelen van de gecompromitteerde Mac. De bedoeling van de aanvallers is hier om documenten, schermafbeeldingen, e-mailbijlagen en andere gevoelige gegevens te exfiltreren. In totaal zijn er momenteel 39 commando’s beschikbaar.
