De Noord-Koreaanse hackgroep Lazarus Group verspreidt nieuwe macOS‑malware via nepvergaderingen. Slachtoffers krijgen valse kalenderaankondigingen en uitnodigingen voor video-overleggen. De aanvallen zijn recent gezien en raken ook Europa en Nederland. Het doel is spionage en diefstal van bedrijfsgegevens, met gevolgen voor NIS2-richtlijn gevolgen bedrijven en plicht tot datalekmeldingen.
Lazarus misbruikt nepvergaderingen
De aanval start met een geloofwaardige uitnodiging voor een online meeting. De berichten lijken te komen van een collega, klant of recruiter. In de uitnodiging staat een link of bestand dat zogenaamd nodig is voor het overleg. Wie daarop klikt, installeert ongemerkt kwaadaardige software.
Dit is klassieke social engineering: een truc om mensen te misleiden en haast te creëren. De criminelen gebruiken echte namen, logo’s en agendaformaten. Zo vertrouwen doelwitten de uitnodiging sneller. Daarna volgt vaak een verzoek om een app te installeren of een zogenaamde update te draaien.
Op macOS verstoppen aanvallers malware vaak in een app-bundel die eruitziet als een document. Het pictogram lijkt op een pdf of vergadertool, maar start in werkelijkheid een schadelijk programma. Sommige varianten proberen beveiliging te omzeilen door zich voor te doen als legitieme software. Daardoor is de eerste klik van de gebruiker vaak genoeg.
Social engineering is het manipuleren van mensen om acties uit te voeren of informatie prijs te geven die zij normaal niet zouden delen.
Gericht op Apple‑computers
De campagne focust op Apple‑gebruikers met macOS. De malware verzamelt systeeminformatie en kan inloggegevens stelen uit browsers en apps. Ook kan de aanvaller extra modules downloaden om meer te kunnen. Denk aan het maken van screenshots of het doorzoeken van mappen met projecten.
Apple heeft ingebouwde beveiliging zoals Gatekeeper en XProtect. Toch werkt die bescherming niet altijd als gebruikers zelf toestemming geven aan onbekende software. Aanvallers misbruiken daarnaast vertrouwde namen en processen. Zo lijkt het alsof alles normaal verloopt.
Bedrijven met Macs lopen extra risico als medewerkers veel thuiswerken. Privé- en werkaccounts raken dan sneller door elkaar. Ook externe medewerkers en freelancers zijn een doelwit. Zij krijgen vaak legitieme uitnodigingen voor calls en accepteren sneller een nieuw hulpmiddel.
Europese plichten nemen toe
Voor veel organisaties in Nederland en de EU geldt dit jaar NIS2. Deze Europese cybersecurityrichtlijn verplicht strengere risicobeheersing en snellere meldingen van incidenten. Een succesvolle malware-infectie op macOS kan zo’n meldplicht activeren. Dat geldt vooral als er dienstverlening of toelevering in gevaar komt.
Daarnaast eist de AVG datalekmeldingen binnen 72 uur bij de toezichthouder. Stelen aanvallers persoonsgegevens via zulke nepvergaderingen, dan is een melding waarschijnlijk nodig. Organisaties moeten ook kunnen aantonen dat zij passende technische en organisatorische maatregelen namen. Denk aan toegangsbescherming, versleuteling en dataminimalisatie.
Publieke instellingen en vitale sectoren krijgen extra aandacht van toezichthouders. Zij verwerken vaak gevoelige gegevens of leveren essentiële diensten. Voor hen is het belangrijk om beleid te koppelen aan techniek. Training, logging en continu testen horen daar op het moment van schrijven bij.
Wat organisaties nu doen
Beperk installatie van onbekende apps met beheer van apparaten (MDM) en strikte rechten. Zet Gatekeeper en systeembescherming niet uit en blokkeer onbekende profielen. Laat medewerkers meeting‑links altijd via de officiële website openen. Deel duidelijke stappen: wie belt wie, op welk platform en via welke link.
Gebruik endpoint‑beveiliging die gedrag analyseert in plaats van alleen bekende handtekeningen. Zulke systemen met algoritmen en datamodellen herkennen afwijkende acties, zoals ongebruikelijke processen of netwerkaanvragen. Koppel dat aan netwerksegmentatie om schade te beperken. Zo kan een enkele klik niet het hele bedrijf raken.
Train teams met realistische oefeningen rond kalenderaankondigingen en wervingsgesprekken. Laat zien hoe een nepvergadering te herkennen is. Controleer altijd de afzender, het domein en de bestandsextensie. En meld verdachte uitnodigingen direct bij IT of security.
Techniek omzeild, gedrag telt
Lazarus Group staat bekend om geduld en maatwerk. De groep past lokmiddelen aan per sector en organisatie. Daardoor vallen standaardfilters soms niet op tijd op. De eerste verdedigingslinie blijft dus menselijk gedrag.
Aanvallers misbruiken legitieme functies van macOS, zoals scripting en automatisering. Dit heet “living off the land”: werken met bestaande tools zodat het normaal lijkt. Simpele antivirus mist zulke patronen vaak. Gedragsanalyse en streng beheer van systeemrechten helpen dan beter.
Ook digitale ondertekening en notarisatie bieden geen volledige garantie. Kwaadwillenden kunnen certificaten misbruiken of gebruikers laten toestaan wat niet moet. Controle op herkomst en reputatie van software blijft nodig. Werk daarnaast met een applicatieallowlist voor kritieke teams.
Nederlandse context en advies
Het Nationaal Cyber Security Centrum adviseert organisaties om phishing en social engineering structureel te oefenen. Sluit daarbij aan op uw werkprocessen, zoals sales-calls en sollicitaties. Leg vast welke vergaderplatformen zijn toegestaan. En zet blokkades op downloads buiten de officiële appstores.
Voor mkb en zorginstellingen is basisbeveiliging vaak haalbaar met bestaande middelen. Denk aan automatische updates, wachtwoordkluizen en multifactor-authenticatie. Combineer dat met eenvoudige meldroutes en een incidentplan. Zo voldoet u sneller aan NIS2 en de AVG bij een incident.
Voor grotere organisaties loont het om dreigingsinformatie te delen via sector‑ISAC’s. Dat versnelt herkenning van nieuwe campagnes, ook op macOS. Maak afspraken met leveranciers over snelle patches en zichtbaarheid. Leveranciers vallen immers ook onder NIS2‑ketenverantwoordelijkheid.
