Nieuwe macOS-malware gebruikt verschillende trucs om u te bespioneren

July 21, 2022
InNieuws Internet Beveiliging

Onderzoekers hebben een nooit eerder geziene macOS-spyware in het wild gezien.
Het is niet de meest geavanceerde malware en vertrouwt op de slechte beveiligingshygiëne van mensen om zijn doelen te bereiken.
Toch zijn uitgebreide beveiligingsmechanismen, zoals de aanstaande Lockdown-modus van Apple, de behoefte van het uur, beweren beveiligingsexperts.

Hacker Concept, Hacker valt internet aan via MacBook — krisanapong detraphiphat / Getty Images

Beveiligingsonderzoekers hebben een nieuwe macOS-spyware ontdekt die misbruik maakt van reeds gepatchte kwetsbaarheden om de in macOS ingebouwde beveiligingen te omzeilen. De ontdekking benadrukt het belang van het bijhouden van updates van het besturingssysteem.

Dubbed CloudMensis, de voorheen onbekende spyware, gespot door onderzoekers van ESET, maakt uitsluitend gebruik van openbare cloudopslagservices zoals pCloud, Dropbox en andere om met de aanvallers te communiceren en om bestanden te exfiltreren. Verontrustend genoeg maakt het gebruik van een overvloed aan kwetsbaarheden om de ingebouwde beveiligingen van macOS te omzeilen om uw bestanden te stelen.

"De mogelijkheden laten duidelijk zien dat het de bedoeling van de operators is om informatie van de Macs van de slachtoffers te verzamelen door documenten, toetsaanslagen en schermafbeeldingen te exfiltreren", schreef ESET-onderzoeker. Marc-Etienne M.Léveillé. "Het gebruik van kwetsbaarheden om macOS-beperkingen te omzeilen, toont aan dat de malware-operators actief proberen het succes van hun spionageactiviteiten te maximaliseren."

Aanhoudende spyware

ESET-onderzoekers zagen de nieuwe malware voor het eerst in april 2022 en realiseerden zich dat het zowel de oudere Intel- als de nieuwere op silicium gebaseerde Apple-computers kon aanvallen.

Misschien wel het meest opvallende aspect van de spyware is dat CloudMensis, na te zijn ingezet op de Mac van een slachtoffer, niet terugdeinst voor misbruik maken van niet-gepatchte Apple-kwetsbaarheden met de bedoeling de macOS Transparency Consent and Control (TCC) te omzeilen systeem.

TCC is ontworpen om de gebruiker te vragen apps toestemming te geven om schermopnamen te maken of toetsenbordgebeurtenissen te controleren. Het voorkomt dat apps toegang krijgen tot gevoelige gebruikersgegevens door macOS-gebruikers in staat te stellen privacy-instellingen te configureren voor apps die zijn geïnstalleerd op hun systemen en apparaten die zijn aangesloten op hun Mac, inclusief microfoons en camera's.

De regels worden opgeslagen in een database die wordt beschermd door de Systeemintegriteitsbescherming (SIP), wat ervoor zorgt dat alleen de TCC-daemon de database kan wijzigen.

Op basis van hun analyse stellen de onderzoekers dat CloudMensis een aantal technieken gebruikt om TCC te omzeilen en toestemming te vermijden prompts, waardoor u ongehinderd toegang krijgt tot de gevoelige delen van de computer, zoals het scherm, verwijderbare opslag en het toetsenbord.

Op computers waarop SIP is uitgeschakeld, geeft de spyware zichzelf eenvoudigweg toestemming om toegang te krijgen tot de gevoelige apparaten door nieuwe regels toe te voegen aan de TCC-database. Op computers waarop SIP actief is, zal CloudMensis echter bekende kwetsbaarheden misbruiken om TCC te misleiden om een database te laden waarnaar de spyware kan schrijven.

Bescherm jezelf

"We gaan er meestal van uit dat wanneer we een Mac-product kopen, het volledig beschermd is tegen malware en cyberdreigingen, maar dat is niet altijd het geval", George Gerchow, hoofd beveiliging, Sumologica, vertelde Lifewire in een e-mailuitwisseling.

Gerchow legde uit dat de situatie tegenwoordig nog zorgwekkender is, omdat veel mensen thuis of in een hybride omgeving werken met behulp van personal computers. "Dit combineert persoonlijke gegevens met bedrijfsgegevens, waardoor een pool van kwetsbare en wenselijke gegevens voor hackers ontstaat", aldus Gerchow.

Anonieme hacker verbreekt de toegang om informatie te stelen en computers en systemen te infecteren. Internet misdaad concept. — Rapeepong Puttakumwong / Getty Images

Hoewel de onderzoekers suggereren een up-to-date Mac te gebruiken om in ieder geval te voorkomen dat de spyware TCC omzeilt, zegt Gerchow is van mening dat de nabijheid van persoonlijke apparaten en bedrijfsgegevens het gebruik van uitgebreide monitoring en bescherming vereist software.

"Endpoint-beveiliging, vaak gebruikt door ondernemingen, kan individueel door [mensen] worden geïnstalleerd om te bewaken en te beschermen toegangspunten op netwerken, of cloudgebaseerde systemen, tegen geavanceerde malware en evoluerende zero-day-bedreigingen", suggereerde Gerchow. "Door gegevens te loggen, kunnen gebruikers nieuw, mogelijk onbekend verkeer en uitvoerbare bestanden binnen hun netwerk detecteren."

Het klinkt misschien overdreven, maar zelfs de onderzoekers zijn niet vies van het gebruik van uitgebreide beveiligingen om mensen te beschermen tegen spyware, verwijzend naar de Vergrendelingsmodus Apple is ingesteld om te introduceren op iOS, iPadOS en macOS. Het is bedoeld om mensen een optie te geven om gemakkelijk functies uit te schakelen die aanvallers vaak misbruiken om mensen te bespioneren.

"Hoewel het niet de meest geavanceerde malware is, kan CloudMensis een van de redenen zijn waarom sommige gebruikers deze extra verdediging [de nieuwe Lockdown-modus] willen inschakelen", merkten de onderzoekers op. "Het uitschakelen van toegangspunten, ten koste van een minder vloeiende gebruikerservaring, klinkt als een redelijke manier om het aanvalsoppervlak te verkleinen."