Badacze z firmy zajmującej się bezpieczeństwem ESET odkryli nowy rodzaj złośliwego oprogramowania znanego jako CloudMensis. Wykorzystuje to systemy macOS w celu szpiegowania użytkowników i kradzieży ich prywatnych danych, w tym dokumentów, załączników do wiadomości e-mail i naciśnięć klawiszy. Złośliwe oprogramowanie może być również wykorzystywane do robienia zrzutów ekranu na urządzeniu ofiary.
CloudMensis Backdoory urządzeń macOS do kradzieży danych
Stwierdzono, że złośliwe oprogramowanie CloudMensis wykorzystuje publicznie dostępne dostawcy przechowywania w chmurze, tacy jak DropBox, pCloud i Yandex Disk w celu infiltracji danego systemu macOS i kradzieży danych użytkownika. W post o CloudMensis, firma ESET opisał go jako „wcześniej nieznany backdoor macOS”.
Ponieważ CloudMensis może ominąć macOS Transparency Consent and Control (TCC), ma możliwość aby przeglądać aktywność użytkownika na jego urządzeniu macOS w czasie rzeczywistym i wyodrębniać dane z pamięci w chmurze programy. Długa lista poleceń nadzoru CloudMensis pozwala również na wykonywanie szeregu działań na urządzeniu danej ofiary bez jej autoryzacji lub wiedzy.
Ta zdolność do ominięcia macOS TCC firmy Apple sugeruje, że CloudMensis w żadnym wypadku nie jest podstawowym typem złośliwego oprogramowania. Raczej jego poziom wyrafinowania jest dość niepokojący.
CloudMensis może być ukierunkowany na urządzenia o dużej wartości
Chociaż CloudMensis został oficjalnie odkryty w kwietniu 2022 roku, pierwszy zarejestrowany atak sięga dwóch miesięcy wcześniej, 4 lutego. Od tego czasu do kwietnia ofiarą tego złośliwego oprogramowania padło tylko 51 użytkowników.
Choć może to brzmieć uspokajająco, że tak niewielka liczba ofiar została do tej pory dotknięta przez szkodliwe oprogramowanie CloudMensis, sugeruje to, że operatorzy atakują konkretnych użytkowników. Tak więc, zamiast rozprzestrzeniać złośliwe oprogramowanie na dowolny komputer, który je zaakceptuje, ci napastnicy najprawdopodobniej wybierają osoby, które mogą mieć coś wartościowego do kradzieży.
Operatorzy CloudMensis wydają się nie znają macOS
Chociaż CloudMensis jest ewidentnie jednym z bardziej wyrafinowanych szczepy złośliwego oprogramowania, wydaje się, że jego operatorzy nie są dobrze zorientowani w systemach macOS. Wiemy to, ponieważ ich doświadczenie z kodowaniem Objective-C (język używany w urządzeniach obsługujących OS X i iOS) wydaje się być dość podstawowe. Ale to nie znaczy, że CloudMensis nadal nie stanowi zagrożenia dla użytkowników macOS.
CloudMensis nadal stanowi zagrożenie
Chociaż firma ESET poinformowała, że w chwili pisania tego tekstu nie zarejestrowano żadnych exploitów typu zero-day wykorzystujących CloudMensis, to złośliwe oprogramowanie nadal stanowi poważne zagrożenie dla użytkowników systemu macOS.
Firma ESET nadal pracuje nad ustaleniem, w jaki sposób to złośliwe oprogramowanie jest początkowo rozprzestrzeniane i dlaczego niektórzy użytkownicy są atakowani, co oznacza, że w przyszłości może nastąpić więcej ataków. Użytkownikom zalecono aktualizowanie oprogramowania macOS, aby zmaksymalizować poziom bezpieczeństwa swoich urządzeń.
