English | Français | Deutsche | Español | Meer talen
Onderzoekers hebben een voorheen onbekende macOS-backdoor ontdekt die gebruikers van gecompromitteerde Macs bespioneert en uitsluitend gebruik maakt van publieke cloudopslagdiensten om heen en weer te communiceren met zijn operators. De mogelijkheden van de malware, door ESET CloudMensis genoemd, laten duidelijk zien dat het de bedoeling van de operators is om informatie te verzamelen van de Macs van de slachtoffers. De malware kan namelijk onder meer documenten en toetsaanslagen exfiltreren, e-mailberichten en bijlagen te inventariseren, bestanden van verwijderbare opslag te noteren en schermopnames te maken.
Malware CloudMensis
CloudMensis is een dreiging voor Mac-gebruikers, maar de zeer beperkte verspreiding ervan suggereert dat het wordt gebruikt als onderdeel van een gerichte operatie. Op basis van wat de onderzoekers hebben gezien, zetten operators van deze malware-familie CloudMensis in op specifieke doelwitten die voor hen van belang zijn. Het gebruik van kwetsbaarheden om macOS-mitigaties te omzeilen toont aan dat de malwarebeheerders actief proberen om het succes van hun spionageoperaties te maximaliseren. Tegelijkertijd werden tijdens ons onderzoek geen niet-openbaar gemaakte kwetsbaarheden (zero days) gevonden die door deze groep werden gebruikt. Het is dus aan te raden om een up-to-date Mac te gebruiken om in ieder geval de omzeilingen van de kwetsbaarheden te voorkomen.
"We weten nog steeds niet hoe CloudMensis in eerste instantie wordt verspreid en wie de doelwitten zijn. De algemene kwaliteit van de code en het gebrek aan verberging laat zien dat de auteurs misschien niet erg bekend zijn met Mac-ontwikkeling en niet zo geavanceerd zijn. Desalniettemin zijn er veel middelen gestoken om van CloudMensis een krachtig spionagetool en een dreiging voor potentiële doelwitten te maken," verklaart onderzoeker Marc-Etienne Léveillé, die CloudMensis analyseerde.
Eerstefasemalware en tweedefasemalware
Zodra CloudMensis de mogelijkheid tot code-uitvoering en administratieve privileges van de geïnfecteerde Mac heeft verkregen, voert het een eerstefasemalware uit die een tweedefasemalware met meer mogelijkheden ophaalt van een cloudopslagdienst. Deze tweede fase is een veel grotere component, volgestopt met een aantal functies om informatie te verzamelen van de gecompromitteerde Mac. De bedoeling van de aanvallers is hier om documenten, schermafbeeldingen, e-mailbijlagen en andere gevoelige gegevens te exfiltreren. In totaal zijn er momenteel 39 commando's beschikbaar.
Schets van de werkwijze van CloudMensis bij het misbruik van cloud-opslagdiensten
Ondersteunt drie verschillende clouddiensten
CloudMensis gebruikt cloud-opslag zowel voor het ontvangen van opdrachten van zijn operators als voor het exfiltreren van bestanden. Het ondersteunt drie verschillende diensten: pCloud, Yandex Disk en Dropbox. De configuratie in het geanalyseerde voorbeeld bevat authenticatietokens voor pCloud en Yandex Disk. Metadata van de gebruikte cloudopslagdiensten onthullen interessante details over de operatie, bijvoorbeeld dat het vanaf 4 februari 2022 begon met het verzenden van commando's naar de bots.
Apple heeft onlangs de aanwezigheid erkend van spyware die zich richt op gebruikers van zijn producten en heeft Lockdown Mode aangekondigd voor op iOS 16, iPadOS 16, and macOS Ventura. In deze modus worden functies uitgeschakeld die vaak worden misbruikt om code te laten uitvoeren en malware te implementeren.
Meer rapporten? Kijk dan hier »
Bron: eset.nl, welivesecurity.com
Coronavirus-campagnes verspreid Emotet, Malware
Aangezien het coronavirus uit de provincie Wuhan in China nog steeds wijdverbreide angsten wekt over een mondiale volksgezondheidscrisis, zien sommigen een kans in de uitbraak.
Muziek: Artiesten en nummers om malware te verspreiden
Kaspersky-beveiligingstechnologieën ontdekten een toename van 39% van aanvallen (pogingen om kwaadaardige bestanden te downloaden of uit te voeren) onder het mom van het werk van 'genomineerden in 2019, vergeleken met 2018'. Ariana Grande, Taylor Swift en Post Malone waren de favorieten van aanvallers, met deze genomineerden namen die het meest worden gebruikt in 2019 als vermomming voor malware.
Kerstmis malware verspreidt zich snel
Het is tijd voor lelijke kersttruien - en voor lelijke spammails met een kerstthema. Een nieuwe malspam-campagne dumpt een e-mail in uw inbox met 'Christmas Party', 'Christmas Party volgende week', 'Partymenu', 'Vakantieschema' of iets dergelijks. Maar het bijgevoegde Word-document bevat een gevaarlijke malware: de beruchte Trojan-malware van Emotet.
Nepkortingsbonnen McDonalds leiden naar bankmalware
Facebook gebruikers zijn gewaarschuwd voor zogenaamde kortingsbonnen van 'McDonalds' die via het platform worden aangeboden. In plaats van een korting op een Big Mac, wacht er een infectie met bankmalware, die gegevens voor internetbankieren onderschept. Dat meldt antivirusbedrijf ESET.
Bestandloze malware "Campagnes zonder infectie zijn moeilijk te detecteren"
Net zoals criminelen kunnen worden gepakt door vingerafdrukken of DNA op de plaats delict, laten hackers ook sporen achter op geïnfecteerde systemen. Om het bewijs van hun aanvallen te verbloemen, hebben cybercriminelen bestandsloze malware ontwikkeld. Deze schadelijke softwarevariant bestaat slechts als een artefact op het computergeheugen. De infectie of malware plaatst geen uitvoerbare bestanden op de harde schijf van het geïnfecteerde systeem om de detectie van de aanval zo lang mogelijk te verbergen. Verschillende nieuwe campagnes, die gebruikmaken van bestandsloze malware-aanvallen, zijn geanalyseerd door het Zscaler-ThreatlabZ-team.
Aanvallers blijven gebruikmaken van meer sociale engineering en verfijning
Ondanks een afwezigheid van bijna vier maanden, was de terugkeer van 'Emotet' in de laatste twee weken van september goed voor bijna 12 procent van alle kwaadaardige e-mailvoorbeelden in het derde kwartaal, waardoor miljoenen berichten met kwaadaardige URL's of bijlagen werden afgeleverd, vond Proofpoint.