ESET Research ontdekt CloudMensis: nieuwe dreiging die doelgericht Mac-gebruikers bespioneert

Next story

 

ESET Research ontdekt CloudMensis: nieuwe dreiging die doelgericht Mac-gebruikers bespioneert

  • Onderzoekers van ESET hebben een voorheen onbekende macOS-backdoor ontdekt die gebruikers van gecompromitteerde Macs bespioneert.
  • ESET heeft de malware ‘CloudMensis’ genoemd, omdat het cloudopslagdiensten gebruikt om te communiceren met de beheerders en maanden gebruikt als mapnamen.
  • Deze macOS-malware gebruikt cloudopslag als zijn Command and Control-kanaal en ondersteunt drie verschillende leveranciers: pCloud, Yandex Disk, en Dropbox.
  • CloudMensis kan 39 opdrachten uitvoeren, waaronder het exfiltreren van documenten, toetsaanslagen en schermafbeeldingen vanaf gecompromitteerde Macs.
  • Metadata van de gebruikte cloudopslagdiensten onthullen dat de eerste Mac die door deze campagne werd gecompromitteerd dateert van 4 februari 2022.
  • De zeer beperkte verspreiding van CloudMensis suggereert dat het wordt gebruikt als onderdeel van een gerichte operatie.

 

Sliedrecht, 20 juli 2022 – ESET-onderzoekers hebben een voorheen onbekende macOS-backdoor ontdekt die gebruikers van gecompromitteerde Macs bespioneert en uitsluitend gebruik maakt van publieke cloudopslagdiensten om heen en weer te communiceren met zijn operators. De mogelijkheden van de malware, door ESET CloudMensis genoemd, laten duidelijk zien dat het de bedoeling van de operators is om informatie te verzamelen van de Macs van de slachtoffers. De malware kan namelijk onder meer documenten en toetsaanslagen exfiltreren, e-mailberichten en bijlagen te inventariseren, bestanden van verwijderbare opslag te noteren en schermopnames te maken.

CloudMensis is een dreiging voor Mac-gebruikers, maar de zeer beperkte verspreiding ervan suggereert dat het wordt gebruikt als onderdeel van een gerichte operatie. Op basis van hetgeen ESET Research heeft gezien, zetten operators van deze malware-familie CloudMensis in op specifieke doelwitten die voor hen van belang zijn. Het gebruik van kwetsbaarheden om macOS-mitigaties te omzeilen toont aan dat de malwarebeheerders actief proberen om het succes van hun spionageoperaties te maximaliseren. Tegelijkertijd werden tijdens ons onderzoek geen niet-openbaar gemaakte kwetsbaarheden (zero days) gevonden die door deze groep werden gebruikt. Het is dus aan te raden om een up-to-date Mac te gebruiken om in ieder geval de omzeilingen van de kwetsbaarheden te voorkomen.

"We weten nog steeds niet hoe CloudMensis in eerste instantie wordt verspreid en wie de doelwitten zijn. De algemene kwaliteit van de code en het gebrek aan verberging laat zien dat de auteurs misschien niet erg bekend zijn met Mac-ontwikkeling en niet zo geavanceerd zijn. Desalniettemin zijn er veel middelen gestoken om van CloudMensis een krachtig spionagetool en een dreiging voor potentiële doelwitten te maken," verklaart ESET-onderzoeker Marc-Etienne Léveillé, die CloudMensis analyseerde.

Zodra CloudMensis de mogelijkheid tot code-uitvoering en administratieve privileges van de geïnfecteerde Mac heeft verkregen, voert het een eerstefasemalware uit die een tweedefasemalware met meer mogelijkheden ophaalt van een cloudopslagdienst. Deze tweede fase is een veel grotere component, volgestopt met een aantal functies om informatie te verzamelen van de gecompromitteerde Mac. De bedoeling van de aanvallers is hier om documenten, schermafbeeldingen, e-mailbijlagen en andere gevoelige gegevens te exfiltreren. In totaal zijn er momenteel 39 commando's beschikbaar.

CloudMensis gebruikt cloud-opslag zowel voor het ontvangen van opdrachten van zijn operators als voor het exfiltreren van bestanden. Het ondersteunt drie verschillende diensten: pCloud, Yandex Disk en Dropbox. De configuratie in het geanalyseerde voorbeeld bevat authenticatietokens voor pCloud en Yandex Disk. Metadata van de gebruikte cloudopslagdiensten onthullen interessante details over de operatie, bijvoorbeeld dat het vanaf 4 februari 2022 begon met het verzenden van commando's naar de bots.

Apple heeft onlangs de aanwezigheid erkend van spyware die zich richt op gebruikers van zijn producten en heeft Lockdown Mode aangekondigd voor op iOS 16, iPadOS 16, and macOS Ventura. In deze modus worden functies uitgeschakeld die vaak worden misbruikt om code te laten uitvoeren en malware te implementeren.

Voor meer technische informatie over CloudMensis, bekijk de blogpost "I see what you did there: a look at the CloudMensis macOS spyware" op WeLiveSecurity. Voor de laatste updates, volg ESET Research op Twitter.

Over ESET
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds complexere digitale bedreigingen. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende bedreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESET's R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedInFacebook, Instagram en Twitter.