Apple hat lange Zeit behauptet, die hauseigenen Rechner seien besonders sicher. Das war auch bis vor kurzem richtig, aber in letzter Zeit häufen sich die Attacken. Apple hat am 6. Juli reagiert und neue Sicherheitsmechanismen angekündigt wie den „Lockdown Mode“.
Aber Spyware für Mac-Rechner steht bei Cyberkriminellen dennoch hoch im Kurs. Nach DazzleSpy (Januar 2022) und Gimmick (März 2022) haben ESET Forscher die bereits dritte Spionage-Malware mit hohem Gefahrenpotenzial aufgedeckt. Die von ESET „CloudMensis“ getaufte, bislang unbekannte Spyware spioniert infizierte Apple-Rechner seit Februar 2022 umfassend aus. Dokumente und Tastatureingaben werden mitgeschnitten, E-Mail-Nachrichten und -Anhänge gespeichert, Dateien von Wechseldatenträgern kopiert und Bildschirmaufnahmen angefertigt.
CloudMensis wurde in der Objective-C Progammiersprache entwickelt. Die analysierten Beispiele wurden sowohl für Intel- als auch für Apple-Silizium-Architekturen kompiliert. Es ist noch nicht klar, wie die Opfer anfangs durch diese Bedrohung kompromittiert werden.
Es steht jedoch fest, dass nach der Codeausführung und der Erlangung von Administrator- bzw. Root-Rechten ein zweistufiger Prozess folgt, bei dem in der ersten Stufe die mit mehr Funktionen ausgestattete zweite Stufe heruntergeladen und ausgeführt wird. Interessanterweise ruft die Malware der ersten Stufe ihre nächste Stufe von einem Cloud-Speicheranbieter ab. Sie verwendet keinen öffentlich zugänglichen Link, sondern enthält ein Zugriffstoken, um die MyExecute-Datei vom Speicher herunterzuladen. In dem von Eset analysierten Sample wurde pCloud für die Speicherung und Bereitstellung der zweiten Stufe verwendet. Die Malware der ersten Stufe lädt die Malware der zweiten Stufe herunter und installiert sie als systemweiten Daemon.
Die zweite Stufe von CloudMensis ist eine viel größere Komponente, die mit einer Reihe von Funktionen ausgestattet ist, um Informationen von dem kompromittierten Mac zu sammeln. Die Absicht der Angreifer besteht hier eindeutig darin, Dokumente, Screenshots, E-Mail-Anhänge und andere sensible Daten zu stehlen.
CloudMensis nutzt Cloud-Speicher sowohl für den Empfang von Befehlen von seinen Betreibern als auch für das Exfiltrieren von Dateien. Er unterstützt drei verschiedene Anbieter: pCloud, Yandex Disk und Dropbox.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…