Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

CloudMensis: Neue Malware spioniert Mac-Nutzer aus

In modernen Betriebssystemen existieren hunderte von Lücken, welche sich Angreifer zunutze machen können – doch diese aufzuspüren, ist nicht leicht. Finden Hacker derartige Sicherheitsmängel, haben sie grundsätzlich zwei Optionen: Die Schwachstelle an den Hersteller melden und über ein mögliches Bug-Bounty-Programm eine Entlohnung erhalten – oder die Schwachstelle weiterverkaufen. Letztere Möglichkeit kann je nach Art der Lücke sehr lukrativ sein.


Die meisten Viren im PC-Markt sind aufgrund der Verbreitung auf Windows-PCs abgestimmt und Mac-Nutzer sind aufgrund des geringeren Marktanteils meist nicht das Ziel. Doch von Zeit zu Zeit kommen auch Viren oder andere Schadsoftware für den Mac auf.

CloudMensis: Seit Februar im Einsatz
Die Sicherheitsforscher von ESET haben eine neue Malware für den Mac gefunden: CloudMensis. Diese richtet keinen Schaden an, sondern dient hauptsächlich dazu, den Nutzer auszuspionieren. Der Virus ist in der Lage, Dokumente und E-Mails samt Anhängen auszulesen. Ferner kann CloudMensis auch die Eingaben eines Nutzers über die Tastatur mitprotokollieren und Screenshots des aktuellen Desktops anfertigen.

Einfallstor unbekannt – sehr geringe Verbreitung
Noch ist komplett ungeklärt, wie sich der Virus verteilt und welches Einfallstor ins Betriebssystem genutzt wird. Laut den Sicherheitsforschern von ESET ist CloudMensis aber nicht auf große Verbreitung ausgerichtet, sondern die Hacker scheinen das Virus gezielt bestimmten Personen unterzujubeln, um an die Informationen auf dem Mac zu kommen. Noch ist unklar, welchen Personenkreis die Hacker hier gezielt ins Visier nehmen.

Im ersten Schritt wird laut ESET eine kleine Binärdatei heruntergeladen – und sobald diese Zugriff auf das System erlangte, wird ein viel größeres Programm eingeschleust, welches den Hackern insgesamt 39 Befehle bereitstellt, um den Nutzer auszuspionieren. ESET stellt fest, dass die generelle Qualität nicht darauf schließen lässt, dass die Hacker sich gut auf der Mac-Plattform auskennen. Unter anderem unternimmt CloudMensis wenig Maßnahmen, sich vor einer möglichen Erkennung durch Anti-Viren-Programme zu schützen.

Cloud-Speicher als Verteilungsmedium
Ungewöhnlich ist, dass CloudMensis die gesammelten Informationen auf Zuruf über gängige Cloud-Speicher-Dienste verteilt. Hier kommt zum Beispiel pCloud, Yandex Disk oder Dropbox zum Einsatz. Nach Upload laden die Hacker die gesammelten Informationen von diesen Cloud-Providern herunter, um diese anschließend auszuwerten.

Kommentare

Radiodelta
Radiodelta20.07.22 17:49
Diese richtet keinen Schaden an, sondern dient hauptsächlich dazu, den Nutzer auszuspionieren.
Mich auszuspionieren ist kein Schaden? Pardon, aber diese beckmesserische Nachfrage kann ich euch nicht ersparen.
+9
eMac Extreme20.07.22 18:04
Interessant wäre noch, ob es bereits eine Möglichkeit für Endverbraucher gibt, diese Programme leichthin aufzuspüren. Vielleicht könnt ihr das noch ergänzen?!? Danke!
+12
Mendel Kucharzeck
Mendel Kucharzeck20.07.22 19:08
Radiodelta
Diese richtet keinen Schaden an, sondern dient hauptsächlich dazu, den Nutzer auszuspionieren.
Mich auszuspionieren ist kein Schaden? Pardon, aber diese beckmesserische Nachfrage kann ich euch nicht ersparen.

Mit "Schaden" ist hier gemeint, dass dieser Virus keine Dateien löscht oder verschlüsselt.
+1
Mendel Kucharzeck
Mendel Kucharzeck20.07.22 19:09
eMac Extreme
Interessant wäre noch, ob es bereits eine Möglichkeit für Endverbraucher gibt, diese Programme leichthin aufzuspüren. Vielleicht könnt ihr das noch ergänzen?!? Danke!

ESET hat nach meiner Meinung nach noch keine Infos veröffentlicht, wo sich der Virus hinspeichert.
+1
Wauzeschnuff20.07.22 19:09
Eine gute Zusammenfassung des bisherigen Wissens (inklusive genutzter Dateien), findet sich hier:
+9
Mecki
Mecki20.07.22 19:34
Ferner kann CloudMensis auch die Eingaben eines Nutzers über die Tastatur mitprotokollieren und Screenshots des aktuellen Desktops anfertigen.
Das geht aber nur durch einen Trick, dank dem die App die Erlaubnis erhalten kann auf den Bildschirm und Tastatureingaben zuzugreifen, ohne dass der Nutzer dem vorher von Hand zustimmen muss und dieser Fehler wurde schon in macOS Catalina 10.15.6 behoben. Wer also dieses Catalina Update eingespielt hat, Big Sur oder Monterey verwendet, auf dessen Bildschirm und Tastatur hat das Ding keinen Zugriff außer er hat SIP abgeschaltet, weil dann kann die Zugriffsdatenbank direkt manipuliert werden. Auch auf welche Dateien bzw. Verzeichnisse das Ding Zugriff hat ist seit Big Sur beschränkt, wenn SIP eingeschaltet ist.
+10
axpie20.07.22 23:39
DAS Virus oder DER Virus ?
0
Esperanto21.07.22 02:56
Hallo axpie,

DAS Virus oder DER Virus ?

Grammatisch korrekt ist der Virus. Im Lateinischen ist das das männliche Grammatik-Geschlacht (us). In der Medizin verwendet man trotzdem "das Virus". Grammatisch ist das falsch. In der Medizin ist das üblich. Wenn ein Untersuchungsergebnis "positiv" ist, ist das negativ für den Patienten, denn dann ist er krank.
0
Mecki
Mecki21.07.22 11:32
Esperanto
Grammatisch korrekt ist der Virus.
Eingedeutschte Fremdwörter behalten im Normalfall ihren ursprünglichen Genus. Beispiel: die Allee (franz. l'allée, weiblich) und der Boulevard (franz. le boulevard, männlich).

Falls sie aus einer Sprache ohne sprachlichen Genus stammen, dann bekommen sie den Genus der deutschen Übersetzung, falls so eine existiert. Beispiel: die CPU, weil "die zentrale Recheneinheit" und der Computer, weil "der Rechner" (to compute = rechnen) und das Internet, weil "das zusammengeschaltete Netzwerk".

Falls es aber keine deutsche Übersetzung gibt, zumindest keine direkte oder gebräuchliche, dann nimmt man in den meisten Fällen das neutrale Neutrum. So hat sich "das RAM" etabliert, weil es ist zwar "der Arbeitsspeicher", aber das ist keine echte Übersetzung von RAM. Die Übersetzung von Arbeitsspeicher wäre "main memory" (aka Hauptspeicher), während RAM einen bestimmten Typus von Speicher beschreibt, nämlich "Speicher mit wahlfreiem Zugriff“, aber das sagt kein Mensch jemals.

Und selbst dort wo es eine Übersetzung gibt, gibt es aber Ausnahmen. So werden englische Wörter, die auf "ity" enden normalerweise weiblich, Wörter, die auf "er" enden normalerweise männlich und Wörter die auf "ing" enden normalerweise Neutrum. Daher "der Rollercoaster", trotz "die Achterbahn".

ABER, es heißt das Virus, weil Virus im lateinischen auch Neutrum ist. Nicht alles was auf "us" endet folgt im lateinischen der U-Deklamation . Das Wort Virus folgt im Lateinischen der O-Deklanation und ist nicht männlich, sondern Neutrum! Der Virus sagen nur Leute, die mal irgendwo ein bisschen Latein aufgeschnappt haben und glauben zu wissen, das jedes lateinische Wort, dass auf -us Endet männlich ist und das ist aber falsch, wie jeder weiß, der wirklich mal Latein in der Schule hatte. Deswegen wird in der Fachsprache (Mediziner haben zumindest ein bisschen Lateingrundwissen) korrekt "das" verwendet.
+7
schaudi
schaudi21.07.22 11:43
Mecki
So hat sich "das RAM" etabliert, weil es ist zwar "der Arbeitsspeicher", aber das ist keine echte Übersetzung von RAM. Die Übersetzung von Arbeitsspeicher wäre "main memory" (aka Hauptspeicher), während RAM einen bestimmten Typus von Speicher beschreibt, nämlich "Speicher mit wahlfreiem Zugriff“, aber das sagt kein Mensch jemals.
Egal ob Hauptspeicher oder Speicher mit wahlfreien Zugriff - das Hauptwort ist immer Speicher – der Speicher, weswegen man auch der RAM sagt. Das RAM hab ich noch nie gehört oder gelesen, außer bei das RAM Modul - wo sich das das aber auf das Modul bezieht. Unter Umständen hat manch einer das Wörtchen Modul im Hinterkopf und sagt dann das RAM …
Hier persönlichen Slogan eingeben.
+2
awk21.07.22 11:58
Mecki
Wer also dieses Catalina Update eingespielt hat, Big Sur oder Monterey verwendet, auf dessen Bildschirm und Tastatur hat das Ding keinen Zugriff außer er hat SIP abgeschaltet ...

Etwas naiv, der Virus (Computerviren sind maskulin) dürfte genau das aushebeln.
0
Mecki
Mecki21.07.22 12:10
schaudi
Das RAM hab ich noch nie gehört oder gelesen
Ist aber grammatikalisch genauso korrekt, siehe Duden , und die gebräuchlichere Form, siehe oder auch (erster Treffer).

awk
Etwas naiv, der Virus (Computerviren sind maskulin) dürfte genau das aushebeln.
Ja und zwar über die Schwachstelle CVE-2020-9934 und wie man dort nachlesen kann, wurde die in 10.15.6 geschlossen, genau das hatte ich doch geschrieben. Ohne die gibt es keinen bekannten Weg das auzuhebeln, außer man schaltet SIP ab und auch das hatte ich geschrieben.
+1
awk21.07.22 13:01
Mecki
Ohne die gibt es keinen bekannten Weg das auzuhebeln, ...

Das ist aber genau der Ansatzpunkt eines jeden modernen und erfolgreichen Virus, die unbekannte Schwachstelle.
0
Mecki
Mecki22.07.22 11:29
awk
Das ist aber genau der Ansatzpunkt eines jeden modernen und erfolgreichen Virus, die unbekannte Schwachstelle.
Der Virus wurde aber bereits komplett zerlegt und alle Lücken, die er nutzt, sind bekannt und dokumentiert. Hier steht ganz genau wie der Virus das macht und welche Lücke er dafür nutzt und diese Lücke wurde in 10.15.6 geschlossen und ohne die, kann er nur die Permission Datenbank manipulieren, aber das ist nur möglich, wenn man SIP abgeschaltet hat.
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.