Vorig jaar zijn er nauwelijks echt nieuwe malware-exemplaren voor macOS ontdekt, zo claimt beveiligingsonderzoeker Patrick Wardle. In totaal gaat het om acht nieuwe malwarefamilies. Twee van de malware-exemplaren, ElectroRAT en ElectrumStealer, hadden het voorzien op eigenaren van cryptovaluta.
Twee andere exemplaren, WildPressure en XcodeSpy, betreffen een backdoor waarmee aanvallers toegang tot een besmet systeem behouden. Het zijn echter twee andere malware-exemplaren voor macOS die vorig jaar de meeste aandacht kregen. Het gaat om de SilverSparrow-malware en een exemplaar genaamd MacMa. SilverSparrow werd op bijna veertigduizend Macs aangetroffen. De infectievector die SillverSparrow gebruikt is onbekend, wat ook geldt voor het doel van de malware.
In het geval van de MacMa-malware is de infectievector wel duidelijk. Voor de verspreiding van deze backdoor werd onder andere gebruikgemaakt van een zerodaylek. De aanval was gericht tegen bezoekers van Hongkongse websites van een mediabedrijf en een pro-democratische politieke groepering. Aanvallers hadden deze websites gecompromitteerd en voorzien van twee iframes waarmee vanaf een server exploits voor iOS en macOS werden geladen.
De aanval werddoor Google ontdekt. Het lukte onderzoekers van het techbedrijf niet om de iOS-exploit te achterhalen. Via de aanval werd een backdoor geïnstalleerd waarmee het mogelijk is om besmette systemen te fingerprinten, schermopnames te maken, bestanden te downloaden en uploaden, terminal commando's uit te voeren, audio op te nemen en toetsaanslagen op te slaan.
Voor de andere malware-exemplaren werden onder andere malafide advertenties, aangepaste Xcode-projecten, getrojaniseerde cryptovaluta-applicaties en zogenaamde foutmeldingen van het Electrum-netwerk gebruikt. Volgens Wardle is het belangrijk om kennis van macOS-malware te hebben, zeker nu Apple meer binnen bedrijven wordt gebruikt. "Met de groei en populariteit van macOS, (met name in ondernemingen!), zal 2022 zeker allerlei nieuwe macOS-malware met zich meebrengen", aldus de onderzoeker.
Deze posting is gelocked. Reageren is niet meer mogelijk.