Eine bisher unbekannte macOS-Spyware ist in einer sehr gezielten Kampagne aufgetaucht, die Dokumente, Tastenanschläge, Screenshots und mehr von Apple-Computern exfiltriert. Interessanterweise verwendet es ausschließlich öffentliche Cloud-Speicherdienste für die Unterbringung von Nutzlasten und für die Command-and-Control-Kommunikation (C2) – eine ungewöhnliche Designentscheidung, die es schwierig macht, die Bedrohung zu verfolgen und zu analysieren.
Von den Forschern bei ESET, die es entdeckten, CloudMensis getauft, wurde die Hintertür in Objective-C entwickelt. Die Analyse der diese Woche veröffentlichten Malware durch ESET zeigt, dass die Cyberangreifer hinter der Kampagne nach einer anfänglichen Kompromittierung mithilfe bekannter Schwachstellen Codeausführung und Privilegienerweiterung erlangen. Anschließend installieren sie eine Loader-Komponente der ersten Stufe, die die tatsächliche Spyware-Nutzlast von einem Cloud-Speicheranbieter abruft. In der von der Firma analysierten Stichprobe wurde pCloud zum Speichern und Bereitstellen der zweiten Stufe verwendet, aber die Malware unterstützt auch Dropbox und Yandex als Cloud-Repositories.
Die Spionagekomponente macht sich dann daran, eine Vielzahl sensibler Daten vom kompromittierten Mac zu sammeln, darunter Dateien, E-Mail-Anhänge, Nachrichten, Audioaufzeichnungen und Tastenanschläge. Insgesamt gaben Forscher an, dass es 39 verschiedene Befehle unterstützt, darunter eine Anweisung zum Herunterladen zusätzlicher Malware.
Alle unrechtmäßig erworbenen Daten werden mit einem öffentlichen Schlüssel verschlüsselt, der im Spionageagenten gefunden wird; und laut ESET ist für die Entschlüsselung ein privater Schlüssel erforderlich, der den CloudMensis-Betreibern gehört.
Spyware in der Cloud
Der bemerkenswerteste Aspekt der Kampagne, abgesehen von der Tatsache, dass Mac-Spyware ein seltener Fund ist, ist laut der Analyse die ausschließliche Nutzung von Cloud-Speicher.
„CloudMensis-Täter erstellen Konten bei Cloud-Speicheranbietern wie Dropbox oder pCloud“, erklärt Marc-Etienne M.Léveillé, leitender Malware-Forscher bei ESET, gegenüber Dark Reading. „Die CloudMensis-Spyware enthält Authentifizierungstoken, die es ihnen ermöglichen, Dateien von diesen Konten hoch- und herunterzuladen. Wenn die Betreiber einen Befehl an einen ihrer Bots senden möchten, laden sie eine Datei in den Cloud-Speicher hoch. Der CloudMensis-Spionageagent ruft diese Datei ab, entschlüsselt sie und führt den Befehl aus. Das Ergebnis des Befehls wird verschlüsselt und in den Cloud-Speicher hochgeladen, damit die Bediener es herunterladen und entschlüsseln können.“
Diese Technik bedeutet, dass die Malware-Beispiele weder Domänennamen noch IP-Adressen enthalten, fügt er hinzu: „Das Fehlen eines solchen Indikators macht es schwierig, die Infrastruktur zu verfolgen und CloudMensis auf Netzwerkebene zu blockieren.“
Obwohl es sich um einen bemerkenswerten Ansatz handelt, wurde er in der PC-Welt bereits von Gruppen wie verwendet Beginn (auch bekannt als Wolkenatlas) und APT37 (alias Reaper oder Gruppe 123). „Ich denke jedoch, dass wir es zum ersten Mal bei Mac-Malware gesehen haben“, bemerkt M.Léveillé.
Attribution, Victimology bleiben ein Mysterium
Bisher sind die Dinge, nun ja, wolkig, wenn es um die Herkunft der Bedrohung geht. Klar ist, dass die Absicht der Täter Spionage und Diebstahl von geistigem Eigentum ist – möglicherweise ein Hinweis auf die Art der Bedrohung, da Spionage traditionell die Domäne von Advanced Persistent Threats (APTs) ist.
Die Artefakte, die ESET bei den Angriffen entdecken konnte, zeigten jedoch keine Verbindungen zu bekannten Operationen.
„Wir konnten diese Kampagne keiner bekannten Gruppe zuordnen, weder aufgrund der Code-Ähnlichkeit noch der Infrastruktur“, sagt M. Léveillé.
Ein weiterer Hinweis: Die Kampagne ist auch sehr zielgerichtet – normalerweise das Markenzeichen von anspruchsvolleren Akteuren.
„Metadaten von Cloud-Speicherkonten, die von CloudMensis verwendet werden, zeigten, dass die von uns analysierten Proben zwischen dem 51. Februar und dem 4. April auf 22 Macs ausgeführt wurden“, sagt M. Léveillé. Leider „haben wir keine Informationen über die Geolokalisierung oder Vertikale der Opfer, weil Dateien aus dem Cloud-Speicher gelöscht werden.“
Im Gegensatz zu den APT-artigen Aspekten der Kampagne ist der Entwicklungsstand der Malware selbst jedoch nicht so beeindruckend, stellte ESET fest.
„Die allgemeine Qualität des Codes und das Fehlen von Verschleierung zeigen, dass die Autoren mit der Mac-Entwicklung möglicherweise nicht sehr vertraut und nicht so weit fortgeschritten sind“, heißt es der Bericht.
M.Léveillé charakterisiert CloudMensis als mittelschwere Bedrohung und stellt fest, dass dies nicht der Fall ist Die beeindruckende Pegasus-Spyware der NSO Group, baut CloudMensis keine Zero-Day-Exploits in seinen Code ein.
„Wir haben nicht gesehen, dass CloudMensis unbekannte Sicherheitslücken nutzt, um die Sicherheitsbarrieren von Apple zu umgehen“, sagt M.Léveillé. „Wir haben jedoch festgestellt, dass CloudMensis bekannte Schwachstellen (auch bekannt als One-Day oder n-Day) auf Macs verwendet, auf denen nicht die neueste Version von macOS ausgeführt wird [um Sicherheitsmaßnahmen zu umgehen]. Wir wissen nicht, wie die CloudMensis-Spyware auf den Macs der Opfer installiert wird, also verwenden sie möglicherweise nicht offengelegte Schwachstellen für diesen Zweck, aber wir können nur spekulieren. Dies platziert CloudMensis irgendwo in der Mitte der Skala der Raffinesse, mehr als der Durchschnitt, aber auch nicht die raffinierteste.“
So schützen Sie Ihr Unternehmen vor CloudMensis und Spyware
Um nicht Opfer der CloudMensis-Bedrohung zu werden, bedeutet die Verwendung von Schwachstellen zur Umgehung von MacOS-Abwehrmaßnahmen, dass der Betrieb aktueller Macs laut ESET die erste Verteidigungslinie für Unternehmen ist. Obwohl der anfängliche Kompromittierungsvektor in diesem Fall nicht bekannt ist, ist die Implementierung aller übrigen Grundlagen wie starke Passwörter und Schulungen zur Sensibilisierung für Phishing ebenfalls eine gute Verteidigung.
Die Forscher empfahlen auch das Einschalten Apples neuer Sperrmodus -Funktion
„Apple hat kürzlich das Vorhandensein von Spyware bestätigt, die auf Benutzer seiner Produkte abzielt, und zeigt eine Vorschau des Lockdown-Modus auf iOS, iPadOS und macOS, der Funktionen deaktiviert, die häufig ausgenutzt werden, um Codeausführung zu erlangen und Malware bereitzustellen“, heißt es in der Analyse. „Das Deaktivieren von Einstiegspunkten auf Kosten einer weniger flüssigen Benutzererfahrung klingt nach einer vernünftigen Möglichkeit, die Angriffsfläche zu verringern.“
M.Léveillé warnt Unternehmen vor allem davor, sich in Bezug auf Macs in falscher Sicherheit wiegen zu lassen. Während Malware, die auf Macs abzielt, traditionell weniger verbreitet ist als Windows- oder Linux-Bedrohungen, das ändert sich jetzt.
„Unternehmen, die Macs in ihrer Flotte verwenden, sollten sie genauso schützen, wie sie Computer mit Windows oder anderen Betriebssystemen schützen würden“, warnt er. „Da die Mac-Verkäufe Jahr für Jahr steigen, sind ihre Benutzer zu einem interessanten Ziel für finanziell motivierte Kriminelle geworden. Staatlich geförderte Bedrohungsgruppen haben auch die Ressourcen, um sich an ihre Ziele anzupassen und die Malware zu entwickeln, die sie zur Erfüllung ihrer Missionen benötigen, unabhängig vom Betriebssystem.“
