Nieuwe Apple iOS-malware jaagt op cryptowallets boven 10.000 dollar

Een nieuwe aanval op Mac-gebruikers valt op door één detail dat direct blijft hangen: deze malware lijkt niet op iedereen te mikken, maar juist op mensen met een grotere cryptopot. Onderzoekers van Moonlock Lab schrijven dat de nieuwe stealer notnullOSX specifiek is gebouwd om macOS-gebruikers met meer dan 10.000 dollar aan crypto te bestelen. Volgens het bedrijf werd de campagne eind maart voor het eerst gezien in onder meer Spanje, naast detecties in Vietnam en Taiwan.

Dat maakt deze zaak anders dan een doorsnee malwaregolf. Volgens Moonlock gaat het om een gerichte operatie waarbij slachtoffers eerst worden geselecteerd. In de door onderzoekers beschreven infrastructuur zou zelfs een financiële ondergrens zijn ingebouwd, waardoor kleinere doelwitten minder interessant zijn. Juist die selectie op verwachte buit geeft het verhaal extra nieuwswaarde: het gaat niet om massaspam, maar om een aanval die vooraf lijkt te wegen of iemand “de moeite waard” is.

De truc zelf is minder technisch dan veel mensen denken. Slachtoffers zouden worden verleid via een nep-Google-document met een verzonnen foutmelding, of via een valse versie van een wallpaper-app voor Mac. In beide gevallen draait het erop uit dat de gebruiker zelf een Terminal-commando uitvoert of een installatie start. De aanval gebruikt dus vooral vertrouwen en verwarring, niet per se een spectaculair lek in macOS.

Daarna wordt het pas echt gevoelig. Moonlock schrijft dat notnullOSX gegevens kan buitmaken uit onder meer iMessage, Apple Notes, Safari, browser-credentials, Telegram en cryptowalletbestanden. Ook beschrijven de onderzoekers een functie waarmee walletsoftware mogelijk kan worden vervangen door een gemanipuleerde versie. Dat is belangrijk, omdat juist die route ook gebruikers van hardwarewallets kan raken zodra de software eromheen niet meer te vertrouwen is.

Een cruciale stap in de aanval is het verkrijgen van Full Disk Access. Apple legt uit dat deze toestemming apps toegang kan geven tot vrijwel alle bestanden op een Mac, inclusief data van andere apps. Volgens Moonlock probeert de malware slachtoffers precies naar dat punt te sturen. Wie zo’n verzoek achteloos goedkeurt, zet in feite zelf de deur open.

De les is daarom simpel en ongemakkelijk tegelijk: niet elke cryptodiefstal begint met een geavanceerde hack. Soms begint het met een overtuigend scherm, een nep-app en één commando dat een gebruiker zelf plakt. En in dit geval lijkt de aanval pas echt interessant te worden zodra er genoeg geld in de wallet zit.