• Würzburg 106,9
  • Tel 0800 - 30 80 900
  • Kontakt

On Air

Jetzt anhören

Neue CloudMensis-Malware öffnet Hintertüren in Macs, um die Daten der Opfer zu stehlen

16.08.2022, 11:50 Uhr in Service, Anzeige
Hacker Malware - pixabay.com
Bild: pixabay.com

Die Cybersecurity-Firma ESET hat eine bisher unentdeckte macOS-Backdoor-Malware entdeckt, die sie CloudMensis getauft hat. Die Forscher haben bestätigt, dass die neue Malware eine aktive Bedrohung für Mac-Benutzer darstellt und die Dateien der Benutzer stehlen, Screenshots erstellen und Tastenanschläge protokollieren kann.

Eine heimliche neue Bedrohung für Macs

Die Forscher der in der Slowakei ansässigen Sicherheitsgruppe gaben ihre Ergebnisse am Dienstag bekannt und nannten die neue Malware CloudMensis, da ihre Betreiber sie ausschließlich über einen Cloud-Speicherdienst kontrollieren. Die Kampagne ist seit dem 4. Februar 2022 aktiv und hat bis jetzt mindestens 51 Opfer gefordert.

Laut ESET ist die Malware in der Lage, persönliche Daten von Mac-Nutzern zu stehlen, die keine ausreichenden Software-Updates erhalten haben. Nach Angaben des ESET-Forschers Marc-Etienne M. Léveillé kann CloudMensis sowohl Apple- als auch Intel-Chip-basierte Macs befallen.

ESET weiß jedoch noch nicht, wie die Backdoor-Malware die Opfer zunächst kompromittiert. CloudMensis verwendet zum Beispiel keinen klickbaren Link, wie es typische RATs und Keylogger tun. Dies könnte über eine Phishing-E-Mail, SMS oder andere Nachrichtendienste geschehen, um das Opfer zum Herunterladen der bösartigen Datei zu verleiten.

"Wir wissen immer noch nicht, wie CloudMensis ursprünglich verbreitet wird und wer die Ziele sind", so Léveillé in seiner Pressemitteilung. "Die allgemeine Qualität des Codes und die fehlende Verschleierung zeigen, dass die Autoren möglicherweise nicht sehr vertraut mit der Mac-Entwicklung sind und nicht so fortgeschritten sind. Nichtsdestotrotz wurden viele Ressourcen darauf verwendet CloudMensis zu einem leistungsfähigen Spionagetool zu machen und eine Bedrohung für potenzielle Ziele darzustellen."

Die ESET-Spezialisten weisen darauf hin, dass es sich bei der Kampagne um eine gezielte Operation handelte und dass die Malware in ihrer Verbreitung äußerst begrenzt ist, obwohl sie extrem unauffällig ist.

39 Wege, Daten zu plündern

Sobald CloudMensis die erste Stufe der Infiltration überwunden und die administrative Kontrolle erlangt hat, führt er eine "funktionsreichere zweite Stufe von einem Cloud-Speicherdienst aus" durch, so ESET. Zu diesem Zeitpunkt wird die komplette Malware-Suite auf den Computer des Benutzers heruntergeladen. Wählen Sie, welches kostenlose VPN für Mac gut ist, damit sie sich vor Hackern schützen können. Diese Kontrollsuite wird von einem cyberkriminellen Command & Control (CnC)-Operator aus der Ferne über die vom Malware-Autor genutzten Cloud-Dienste ausgeführt.

Bei den Cloud-Diensten, die CloudMensis beherbergen, handelt es sich um die immens beliebten und weit verbreiteten pCloud, Yandex und Dropbox. Weitere Analysen von ESET ergaben, dass CloudMensis das TCC-System (Transparency, Consent and Control) von Apple umgehen kann, das den externen Zugriff auf Kameras, Mikrofone, Tastaturaktivitäten und Bildschirmaufnahmen blockiert.

Insgesamt wurden 39 verschiedene Befehle im Infiltrationsarsenal der Malware gefunden, darunter Funktionen zum Diebstahl von Dokumenten, Screenshots, Nachrichten, E-Mails und einer Fülle anderer sensibler Daten speziell von Mac-Computern. ESET entdeckte die Zeichenfolgen "Leonwork" und "BaD" in den Komponenten des Spionageagenten. Letzteres ist möglicherweise der Name des Projekts, so ESET.

Bleiben Sie auf dem Laufenden, aktivieren Sie in Zukunft den Lockdown-Modus

Die Malware nutzt auch mehrere macOS-Schwachstellen, die in älteren Versionen des Betriebssystems gefunden wurden, um ihre Arbeit zu verrichten. ESET fand heraus, dass die Malware versucht, vier Schwachstellen auszunutzen, die Apple 2017 gepatcht hat, was darauf hindeutet, dass die Malware möglicherweise schon seit Jahren existiert.

Obwohl es scheint, dass die Verbreitung der Bedrohung derzeit sehr begrenzt ist und CloudMensis vielleicht speziell für die Infiltration bestimmter interessanter Ziele entwickelt wurde, gibt es dennoch Sicherheitsvorkehrungen, die Mac-Nutzer treffen können.

Um sich vor CloudMensis zu schützen, sollten Sie sicherstellen, dass Sie Ihren Mac auf die neueste Version des Betriebssystems aktualisiert haben. Zweitens wird in den ESET-Berichten empfohlen, den "Lockdown Mode" zu verwenden. Dieser Modus deaktiviert viele Funktionen, die häufig von Cyberkriminellen genutzt werden, um den Systemschutz zu umgehen und ihre Malware erfolgreich zu installieren. Der Lockdown-Modus ist noch nicht verfügbar, soll aber im Herbst zusammen mit iOS16, iPadOS 16 und macOS Ventura eingeführt werden.