2672852

Spyware CloudMensis spähte wohl über Jahre Macs aus

24.07.2022 | 09:45 Uhr | Stephan Wiesend

Eine von Eset entdeckte Spyware zeigt, wie wichtig Apples neue Sicherheitsfunktion Lockdown Mode ist.

Überwachungsprogramme wie Pegasus sind längst keine Neuigkeit mehr. Mit der neuen Sicherheitsfunktion Lockdown Mode wird Apple aber bald einen neuen Betriebsmodus einführen, der gefährdeten Nutzern mehr Sicherheit gegen Spyware-Angriffe bietet. Das ist aber wohl überfällig. Wie ein Blog-Eintrag der Sicherheits-Firma Eset zeigt, gibt es möglicherweise weit mehr unbekannte Ausspäher, als vermutet. Auf Macs ist die Schadsoftware CloudMensis spezialisiert, die Eset diesen April erst entdeckte. Wie bei Pegasus handelt es sich weder um eine Schadsoftware noch Erpresser-Malware, sondern eine Spyware, die das Opfer ausspäht. Die Zahl der Opfer scheint sehr gering zu sein, nähere Angaben macht Eset hier leider nicht.

Das macht die Spyware

Die Aufgabe der Malware ist es, unerkannt auf einem Mac zu laufen und Dokumente, Tastatureingaben und Bildschirmfotos zu stehlen. Genauer: Sie sucht gezielt nach Microsoft-Office-Dateien, Audioaufnahmen wie Sprachnachrichten, E-Mails, Videos und Bilddateien. Ungewöhnlich: Gezielt wurde mit der entdeckten Version der Malware auch nach Dokumenten der koreanischen Office-Suite Hangul Office bzw. Hancom Office gesucht.

Diese Daten können dann auf Dropbox, den Schweizer Clouddienst pCloud oder den russischen Cloud-Dienst Yandex hochgeladen werden. Auch Befehle empfängt die Malware über Cloud-Dienste. Es ist leider unbekannt, wie die Software auf den Mac gelangt, nur das weitere Vorgehen der Malware. Die wohl von einem „Leon“ in Objective-C für Intel- und ARM-Macs programmierte Spyware basiert auf einem Downloader namens „execute“, der das Hauptprogramm „Client“ über den Cloud-Dienst pCloud lädt und installiert.

Schon vor 2017 aktiv?

Die Herkunft ist bisher nicht bekannt, die geringe Verbreitung weist aber auf einen sehr gezielten Einsatz hin. Laut Eset lässt der Code auf Entwickler schließen, die mit Englisch und macOS wenig vertraut sind, bei der Programmierung wurde aber ein hoher Aufwand betrieben. So wird eigentlich seit Mojave, also 2018, der Zugriff per Tastatur und Bildschirmfotos mit der Technologie TCC und SIP geschützt. CloudMensis nutzt aber eine erst 2020 mit 10.15.6 geschlossene Sicherheitslücke namens CVE-2020-9934 um TCC auszutricksen. Der Downloader, der als erstes Modul installiert wird, kann laut Eset außerdem alte Versionen von Safari überlisten. Dazu nutzt er vier Sicherheitslücken, die Apple eigentlich schon 2017 geschlossen hat. Das könnte bedeuten, dass die Spyware schon vor 2017 aktiv war.

Die Software wird offenbar gezielt bei bestimmten Personen installiert, wie und von wem, ist nicht bekannt. Unbekannte Sicherheitslücken nutzt die Software anscheinend nicht aus, laut Eset sollte ein aktuelles macOS vor der Malware sicher sein.

Unsere Meinung

Die Vermutung liegt nahe, dass es sich um eine weitere Überwachungssoftware einer Behörde handelt. Ohne weitere Informationen kann man hier nur spekulieren: Die Nutzung von Yandex weist etwa auf Russland, Interesse an südkoreanischen Dokumenten auf dessen Nachbarländer.

 

 

Macwelt Marktplatz

2672852