Een handvol malwaremonsters die in 2021 opdook, toonden eens te meer aan dat de technologieën van Apple, hoewel minder vatbaar voor aanvallen en compromitteringen dan Windows-systemen, niet onkwetsbaar zijn.
Voor het zesde jaar op rij heeft beveiligingsonderzoeker Patrick Wardle dat gedaan een lijst vrijgegeven van alle nieuwe Mac-malwarebedreigingen die in de loop van een jaar opdoken. Voor elk malwaremonster identificeerde Wardle de infectievector van de malware, de installatie- en persistentiemechanismen en andere kenmerken, zoals het doel van de malware. Een voorbeeld van elk nieuw Mac-malwaremonster dat vorig jaar opdook, is beschikbaar op zijn website.
Zijn lijst is bedoeld om beveiligingsprofessionals een beter inzicht te geven in de bedreigingen die zich richten op macOS, in een tijd waarin de technologie zijn intrede begint te doen in de onderneming, grotendeels aangedreven door externe medewerkers. Een onderzoek onder 300 IT-professionals, in opdracht van een leverancier van mobiel apparaatbeheer Kanji Vorig jaar bleek dat het apparaatgebruik van Apple de afgelopen twee jaar bij 76% van de organisaties was toegenomen. Drieënvijftig procent geeft aan dat het aantal aanvragen voor Apple-apparaten in hun organisatie in dezelfde periode is toegenomen.
De lijst van Wardle bestaat uit acht nieuwe malwarevoorbeelden die in 2021 opdoken en zich richten op macOS. Daartoe behoren ElectroRAT, een platformonafhankelijke trojan voor externe toegang die afgelopen januari op de markt kwam; Zilveren mus, een malwaretool die specifiek gericht is op de M1-chip van Apple die vorig jaar werd gelanceerd; XLoader, een platformonafhankelijke wachtwoorddief; en OSX.CDDS of MacMa, een macOS-implantaat dat waarschijnlijk is ontwikkeld door een natiestatelijke actor.
Verschillende antivirus- en beveiligingsbedrijven ontdekten elk van de malwaremonsters. Intezer,
Zo ontdekte het bedrijf ElectroRAT toen hij in januari 2020 een omvangrijke cryptocurrency-operatie onderzocht. Destijds beschreef het bedrijf ElectroRAT als een zeldzaam voorbeeld van een malwaretool die helemaal opnieuw was ontwikkeld en werd gebruikt om Windows, Linux en macOS aan te vallen. omgevingen.
Rode Canarische meldde Silver Sparrow afgelopen februari als een binair bestand dat speciaal was samengesteld om te draaien op de toen nieuwe M1-chips van Apple. De beveiligingsleverancier zei dat ongeveer 29,139 Mac-eindpunten waren getroffen door het malware-installatieprogramma, dat echter geen lading had. Onderzoekers van Check Point die dit ontdekten XLoader
ontdekte dat het een versie was van een bekende informatie-dief genaamd Formbook, die herschreven was voor macOS.
Leden van de dreigingsanalysegroep van Google ontdekt MacMa
(OSX.CDDS) bij het onderzoeken van geavanceerde ‘watering hole’-aanvallen gericht op bezoekers van de Hongkongse websites van een mediakanaal en een pro-democratische groepering. De onderzoekers ontdekten dat de aanvallers misbruik maakten van een zero-day-escalatiekwetsbaarheid voor privileges (CVE-2021-30869) in macOS Catalina, om de MacMa-achterdeur te laten vallen. Op basis van de kwaliteit van de payload-code oordeelde Google dat de malware het werk was van een goed uitgeruste en waarschijnlijk door de staat gesteunde bedreigingsacteur.
De andere malwaremonsters die Wardle in zijn overzicht vermeldde, waren dat wel XcodeSpy, gericht op Xcode-ontwikkelaars met een achterdeur genaamd EggShell; ElectrumStealer, een tool voor het minen van cryptocurrency die Apple per ongeluk digitaal heeft ondertekend; WildDruk, een platformonafhankelijke Python-achterdeur die Kaspersky ontdekte gericht op industriële bedrijven in het Midden-Oosten; En ZuRu, een malwaretool voor het stelen van gegevens die zich via gesponsorde zoekresultaten op Baidu verspreidde en de Cobalt Strike-agent op gecompromitteerde systemen installeerde.
Willy Leichter, CMO bij LogicHub, zegt dat de grootste Mac-malwarebedreigingen van vorig jaar in een handvol categorieën vielen: cryptominers zoals ElectroRAT en OSAMiner; adware-laders zoals Silver Sparrow; informatiestelers zoals Xloader en Macma; en platformonafhankelijke Trojaanse paarden zoals WildPressure.
Aanhoudende misvatting
“Er bestaat nog steeds de misvatting dat Macs inherent veiliger zijn dan Windows-systemen, vanwege het ruwe aantal aanvallen”, zegt Leichter. Dat sentiment is grotendeels een weerspiegeling van het huidige marktaandeel, waar Windows nog steeds domineert. “Macs hebben wel een aantal beveiligingsvoordelen, maar deze worden steeds minder belangrijk vanwege twee trends: malware richt zich steeds meer op browserplug-ins, en niet op het onderliggende besturingssysteem”, voegt hij eraan toe. Bovendien, zegt hij, creëren malware-ontwikkelaars steeds vaker platformonafhankelijke applicaties, onafhankelijk van het besturingssysteem.
Jaron Bradley, MacOS Detections Manager bij Jamf, zegt dat een van de meest opvallende ontwikkelingen in het Mac-dreigingslandschap in 2021 de aanzienlijke hoeveelheid moeite was die bedreigingsactoren stopten in het aanvallen van Macs. Dit omvatte onder meer het vinden van nieuwe zero-day-kwetsbaarheden en het exploiteren ervan om Mac-specifieke malware te verspreiden, zegt hij. Als voorbeeld wijst Bradley op een zero-day bypass (CVE-2021-30713) in Apple's Transparency Consent and Control (TCC)-framework dat aanvallers misbruikten om malware te verspreiden, genaamd XCSSET.
“Malware die zero-day bypasses implementeert, laat ons zien dat aanvallers steeds capabeler en beter geïnformeerd worden over macOS”, zegt Bradley. “Niet alleen dat, maar het laat ons ook zien dat ze er waarde aan hechten om daadwerkelijk de tijd te nemen om deze exploits in hun tools in te bouwen.”
Op dit moment althans, adware-bedreigingen Nog steeds de meest voorkomende malware op macOS, zegt Bradley. “In de loop van 2021 hebben we echter ook meer geavanceerde bedreigingen zien opduiken, met een duidelijke focus op het opzetten van afstandsbediening van Macs via achterdeurtjes”, merkt hij op, verwijzend naar ZuRu en OSX.CDDS als voorbeelden.
De trend vereist dat organisaties meer aandacht besteden aan de macOS-omgeving, voegt hij eraan toe. "Hoewel veel beveiligingsorganisaties macOS en iOS in het verleden als 'veilig genoeg' hebben gezien met de bestaande controles, vinden aanvallers deze apparaten nu lucratieve doelwitten", zegt Bradley. “Beveiligingsteams moeten hun technische kennis van deze platforms op één lijn brengen met die van andere platforms, zodat ze kwaadaardig gedrag en aanvallen kunnen identificeren.”
