CloudMensis malware heeft het op Mac-privédata gemunt

De onderzoekers hebben de malware CloudMensis genoemd. Het gaat om een achterdeurtje van macOS dat toetsaanslagen, documenten, schermopnames en andere data van een besmette Mac kan stelen. Cloud Mensis gebruikt cloudopslag van Dropbox, pCloud en Yandex Disk om met de eigenaren te communiceren. Ook kan het bestanden, e-mailberichten en bijlagen achterhalen van verwisselbare opslagmedia.

De eerste besmetting door CloudMensis werd ontdekt op 4 februari 2022. Het maakt gebruik van eerder bekende kwetsbaarheden in macOS die inmiddels gedicht zouden zijn door Apple. Er zijn geen aanwijzingen dat er zero day-kwetsbaarheden zijn gebruikt.

De CloudMensis-malware werkt in twee fasen. Na het verkrijgen van voldoende rechten wordt er malware geactiveerd die extra functies van cloudopslagdiensten haalt. De tweede fase bestaat uit een grotere malwarebundel met verschillende functies die informatie proberen te achterhalen. Het gaat om 39 commando’s.

Wat betekent het voor jou?
De kans om door deze malware besmet te worden is niet zo heel groot. De onderzoekers zeggen dat het nog maar beperkt is verspreid, omdat de slachtoffers gericht worden uitgekozen. Het gaat daarbij om personen die over interessante informatie beschikken. Dat zouden bijvoorbeeld bedrijfsgeheimen kunnen zijn.

Omdat CloudMensis gebruik maakt van reeds bekende kwetsbaarheden, ben je met de nieuwste macOS-versie waarschijnlijk veilig. En het installeren van alleen Mac-software die je vertrouwt, helpt ook. Kies bij voorkeur apps uit de Mac App Store.

Toch zijn er ook nog onduidelijkheden. “We weten nog steeds niet hoe CloudMensis aanvankelijk wordt gedistribueerd en wie de doelen zijn”, aldus onderzoeker Marc-Etienne Leveille. Wel blijkt uit de matige kwaliteit van de code dat de makers van de malware waarschijnlijk niet zo heel vertrouwd zijn met ontwikkelen van Mac-software.