Zijn Macs veilig? Bedreigingen voor macOS-gebruikers

Zijn Macs zo veilig als hun eigenaren denken dat ze zijn? Een paar recente verhalen over malware die zich richt op macOS-gebruikers.

Veel Apple-gebruikers zijn van mening dat het macOS-besturingssysteem zo veilig is dat geen enkele cyberbedreiging hen schade kan berokkenen en ze zich dus geen zorgen hoeven te maken over de bescherming van hun apparaten. Niets is minder waar: hoewel er minder malware voor macOS bestaat, komt deze nog steeds veel vaker voor dan eigenaren van Apple-apparaten denken.

In deze post bespreken we de huidige bedreigingen waarmee macOS-gebruikers worden geconfronteerd en hoe je je Mac effectief kunt beschermen. Om te illustreren dat er virussen voor macOS bestaan, bespreken we drie recente onderzoeken die de afgelopen weken zijn gepubliceerd over verschillende malware-families.

BlueNoroff valt macOS-gebruikers aan en steelt cryptovaluta

Eind oktober 2023 ontdekten onze onderzoekers een nieuwe macOS-trojan waarvan wordt aangenomen dat deze verband houdt met BlueNoroff, de ‘commerciële afdeling’ van de Lazarus APT-groep die voor Noord-Korea werkt. Deze subgroep is gespecialiseerd in financiële aanvallen en richt zich specifiek op twee dingen: het aanvallen van het SWIFT-systeem, waaronder de beruchte overval van de centrale bank van Bangladesh, en het stelen van cryptovaluta van organisaties en individuen.

De ontdekte macOS Trojan-downloader wordt verspreid in kwaadaardige archieven. De trojan is vermomd als een pdf-document met de titel ‘Crypto-activa en hun risico’s voor de financiële stabiliteit’, met een pictogram dat een voorbeeld van dit document nabootst.

BlueNoroff/RustBucket: nep pdf-voorblad

Voorblad van de misleidende pdf die de Trojan downloadt en aan de gebruiker laat zien wanneer deze het bestand vanuit een geïnfecteerd archief opent. Bron

Zodra de gebruiker op de Trojan klikt (vermomd als pdf), wordt er een script uitgevoerd dat het bijbehorende pdf-document daadwerkelijk van internet downloadt en opent. Maar dat is natuurlijk niet het enige wat er gebeurt. De belangrijkste taak van de Trojan is het downloaden van een ander virus, dat informatie verzamelt over het geïnfecteerde systeem, deze naar de C2 stuurt en vervolgens wacht op een opdracht om een van de twee mogelijke acties uit te voeren: zelfverwijdering of opslaan in een bestand en het uitvoeren van kwaadaardige code die verzonden werd als antwoord van de server.

Proxy Trojan in illegale software voor macOS

Eind november 2023 ontdekten onze onderzoekers nog een malware-exemplaar dat Mac-gebruikers bedreigt: een proxy-trojan, die wordt verspreid naast illegale software voor macOS. Deze trojan werd in het bijzonder toegevoegd aan de pkg-bestanden van gekraakte videobewerkingsprogramma’s, tools voor gegevensherstel, netwerkhulpprogramma’s, bestandsconversieprogramma’s en diverse andere software. De volledige lijst met geïnfecteerde installatieprogramma’s die door onze experts zijn ontdekt, vind je aan het einde van het rapport dat op Securelist is gepubliceerd.

Zoals eerder vermeld behoort deze malware tot de categorie proxy-trojans: malware die een proxyserver op de geïnfecteerde computer opzet en in feite een host creëert die internetverkeer omleidt. Vervolgens kunnen cybercriminelen dergelijke geïnfecteerde apparaten gebruiken om een betaald netwerk van proxyservers op te bouwen en geld te verdienen aan degenen die dergelijke diensten zoeken.

Ook kunnen de eigenaren van de Trojan de geïnfecteerde computers rechtstreeks gebruiken om criminele activiteiten uit te voeren namens het slachtoffer. Hieronder valt bijvoorbeeld het aanvallen van websites, bedrijven en andere gebruikers, en het kopen van wapens, drugs en andere illegale goederen.

Atomic stealer in nep Safari-browserupdates

Ook werd in november 2023 een nieuwe kwaadaardige campagne ontdekt om een andere trojan voor macOS mee te verspreiden, die bekend staat als Atomic en die tot de categorie van de stealers behoort. Dit type malware zoekt naar allerlei waardevolle gegevens op de computer van het slachtoffer, met name gegevens die in browsers zijn opgeslagen. De malware extraheert en stuurt de gegevens vervolgens naar de makers. Logins en wachtwoorden, bankpasgegevens, sleutels voor crypto-wallets en soortgelijke gevoelige gegevens zijn bijzonder waardevol voor dieven.

De Atomic-trojan werd voor het eerst ontdekt en beschreven in maart 2023. De aanvallers gebruiken nu neppe updates voor de Safari- en Chrome-browsers om de Atomic-trojan te verspreiden. Deze updates worden gedownload van schadelijke pagina’s die op zeer overtuigende wijze de originele Apple- en Google-websites nabootsen.

Neppe Safari-browserupdates met daarin de stealer-trojan

Een site met neppe Safari-browserupdates die daadwerkelijk de Atomic-stealer bevatten. Bron

Zodra de Atomic-trojan op een systeem wordt uitgevoerd, probeert deze de volgende gegevens van de computer van het slachtoffer te stelen:

  • cookies
  • logins, wachtwoorden en bankpasgegevens die zijn opgeslagen in de browser
  • wachtwoorden van het macOS-wachtwoordopslagsysteem (keychain)
  • bestanden die op de harde schijf zijn opgeslagen
  • opgeslagen gegevens van meer dan 50 populaire cryptovaluta-extensies

Zero-day-kwetsbaarheden van macOS

Zelfs als je geen verdachte bestanden downloadt, geen bijlagen opent van onbekende bronnen en doorgaans niet op verdachte bestanden klikt, garandeert dit helaas niet dat je veilig blijft. Het is belangrijk om te onthouden dat software altijd kwetsbaarheden bevat die aanvallers kunnen misbruiken om een apparaat te infecteren, en die weinig of geen actieve actie van de gebruiker vereisen. En het macOS-besturingssysteem vormt geen uitzondering op deze regel.

Onlangs zijn er twee zero-day-kwetsbaarheden ontdekt in de Safari-browser. Volgens de aankondiging van Apple maakten cybercriminelen daar al misbruik van voordat ze überhaupt ontdekt werden. Door het slachtoffer simpelweg naar een schadelijke webpagina te lokken, kunnen aanvallers hun apparaat infecteren zonder enige extra actie van de gebruiker, waardoor ze controle krijgen over het apparaat en de mogelijkheid hebben om gegevens te stelen. Deze kwetsbaarheden zijn relevant voor alle apparaten die de Safari-browser gebruiken en vormen een bedreiging voor zowel iOS-/iPadOS-gebruikers als eigenaren van Macs.

Dit is een veel voorkomend scenario: omdat de besturingssystemen van Apple veel componenten delen, zijn kwetsbaarheden vaak niet alleen van toepassing op één van de besturingssystemen van het bedrijf, maar op alle besturingssystemen. Het is dus een geval waarin Mac-gebruikers slachtoffer worden van de populariteit van de iPhone: iOS-gebruikers zijn het voornaamste doelwit, maar deze kwetsbaarheden kunnen net zo goed worden gebruikt om macOS aan te vallen.

In 2023 zijn in totaal 19 zero-day-kwetsbaarheden ontdekt in de besturingssystemen van Apple waarvan bekend is dat ze actief door aanvallers worden uitgebuit. Hiervan hadden 17 macOS-gebruikers last, waaronder een heleboel met een risicovolle status, en één geclassificeerd als kritiek.

Zero-day-kwetsbaarheden in iOS en macOS: CVE-2023-42917, CVE-2023-42916, CVE-2023-42824, CVE-2023-41993, CVE-2023-41992, CVE-2023-41991, CVE-2023-41064, CVE-2023-41061, CVE-2023-38606, CVE-2023-37450, CVE-2023-32439, CVE-2023-32435, CVE-2023-32434, CVE-2023-32409, CVE-2023-32373, CVE-2023-28204, CVE-2023-282 06, CVE-2023-28205, CVE-2023-23529

Zero-day-kwetsbaarheden in macOS, iOS en iPadOS ontdekt in 2023, die actief werden uitgebuit door cybercriminelen

Over andere bedreigingen en hoe je je Mac kunt beschermen

Het is belangrijk om te onthouden dat er talloze cyberdreigingen bestaan die niet afhankelijk zijn van het besturingssysteem, maar die niet minder gevaarlijk zijn dan malware. Let vooral op de volgende bedreigingen:

  • Phishing en nepwebsites. Phishing-e-mails en websites werken op dezelfde manier voor zowel Windows-gebruikers als Mac-eigenaren. Helaas zijn niet alle valse e-mails en websites gemakkelijk herkenbaar, dus zelfs ervaren gebruikers lopen vaak het risico dat hun inloggegevens worden gestolen.
  • Webbedreigingen, waaronder webskimmers. Malware kan niet alleen het apparaat van de gebruiker infecteren, maar ook de server waarmee deze communiceert. Aanvallers hacken bijvoorbeeld vaak slecht beveiligde websites, vooral online winkels, en installeren daar webskimmers. Deze kleine softwaremodules zijn ontworpen om door bezoekers ingevoerde bankpasgegevens te onderscheppen en te stelen.
  • Schadelijke browserextensies. Deze kleine softwaremodules worden rechtstreeks in de browser geïnstalleerd en worden daarin uitgevoerd, zodat ze niet afhankelijk zijn van het gebruikte besturingssysteem. Ondanks dat ze schijnbaar onschadelijk zijn, kunnen extensies veel kwaad doen: de inhoud van alle bezochte pagina’s lezen, door de gebruiker ingevoerde gegevens onderscheppen (wachtwoorden, kaartnummers, sleutels voor crypto-wallets) en zelfs de weergegeven pagina-inhoud vervangen.
  • Verkeersonderschepping en man-in-the-middle- aanvallen (MITM). De meeste moderne websites maken gebruik van gecodeerde verbindingen (HTTPS), maar toch kom je soms HTTP-sites tegen waar gegevensuitwisseling kan worden onderschept. Cybercriminelen gebruiken dergelijke onderscheppingen om man-in-the-middle-aanvallen uit te voeren, waarbij gebruikers valse of geïnfecteerde pagina’s te zien krijgen in plaats van legitieme pagina’s.

Om je apparaat, online serviceaccounts en, belangrijker nog, de waardevolle gegevens die ze bevatten te beschermen, is het van cruciaal belang om uitgebreide bescherming te gebruiken voor zowel Mac-computers als iPhones/iPads. Een dergelijke bescherming moet het hele scala aan bedreigingen kunnen tegengaan – bijvoorbeeld oplossingen zoals de onze Kaspersky Premium, waarvan de doeltreffendheid is bevestigd door talrijke onderscheidingen van onafhankelijke testlaboratoria.

Tips