Výskumníci spoločnosti ESET odhalili doposiaľ neznámy macOS backdoor, ktorý špehuje používateľov skompromitovaných počítačov Mac a na komunikáciu s útočníkmi využíva výhradne služby verejných cloudových úložísk. Schopnosti tohto malvéru, ktorý ESET pomenoval ako CloudMensis, jednoznačne ukazujú, že cieľom útočníkov je zbieranie informácií o obetiach. Škodlivý kód určený na špehovanie dokáže vynášať dokumenty, zaznamenávať stlačenia klávesnice, prehliadať e-mailové správy, prílohy aj súbory na externých úložiskách a vyhotovovať snímky obrazovky.
Malvér CloudMensis predstavuje hrozbu pre používateľov počítačov Mac, no jehoíikáoolí, mimoriadne obmedzené šírenie naznačuje, že je použitý ako súčasť cielenej operácie. Podľa analýzy spoločnosti ESET využívajú útočníci CloudMensis na špecifické ciele, ktoré sú pre nich zaujímavé. Využívanie zraniteľností na obídenie bezpečnostných systémov operačného systému macOS nasvedčuje tomu, že útočníci sa aktívne snažia maximalizovať úspešnosť špionážnej kampane. Počas analýzy výskumníci spoločnosti ESET nenašli žiadne doposiaľ neznáme (zero-day) zraniteľnosti, ktoré by zneužili útočníci. Používateľom preto odporúčame uistiť sa, že majú najnovšiu verziu operačného systému. Aktualizácia by mala prinajmenšom zabrániť obídeniu bezpečnostných mechanizmov.
„Zatiaľ nevieme, ako sa CloudMensis prvotne šíri a kto sú obete. Všeobecná kvalita kódu a nedostatok kamuflujúcich prvkov však naznačujú, že útočníci nie sú úplne doma v oblasti vývoja počítačov Mac a nie sú príliš pokročilí. Aj napriek tomu vynaložili veľa prostriedkov na to, aby bol malvér CloudMensis silným špionážnym nástrojom predstavujúcim hrozbu pre potenciálne obete,“ vysvetľuje Marc-Etienne Léveillé, výskumník spoločnosti ESET, ktorý analyzoval malvér CloudMensis.
Akonáhle CloudMensis získa oprávnenie na spúšťanie kódu a administrátorské práva, spustí v prvej fáze malvér, ktorý cez cloudové úložiská v rámci druhej fázy získa viac schopností.
Táto druhá fáza predstavuje omnoho väčší komponent nabitý schopnosťami na zbieranie údajov zo skompromitovaných Macov. Zámerom útočníkov je v tomto prípade vynášanie dokumentov, vyhotovovanie screenshotov, prehľadávanie e-mailových príloh či iných citlivých dokumentov. Dokopy disponuje malvér 39 príkazmi zameranými na špehovanie.
CloudMensis zneužíva cloudové úložiská na prijímanie príkazov od útočníkov aj na vynášanie dokumentov. V rámci schémy využíva tri rôzne služby: pCloud, Yandex Disk a Dropbox. Konfigurácia zahrnutá v analyzovanej vzorke obsahuje autentifikačné tokeny pre pCloud a Yandex Disk.
Metadáta zo služieb cloudových úložísk odhaľujú zaujímavé zistenia o kampani, napríklad, že začali prenášať príkazy botom 4. februára 2022.
Spoločnosť Apple potvrdila prítomnosť spyvéru zacieleného na používateľov jej produktov a predstavila nový Lockdown Mode pre iOS, iPadOS a macOS, ktorý zakazuje funkcie často zneužívané na spustenie kódu a nasadenie malvéru.
Viac technických informácií o malvéri CloudMensis sa dočítate v špeciálnom blogu na stránke WeLiveSecurity. Najnovšie zistenia výskumníkov spoločnosti ESET nájdete na Twitteri ESET research.
Na záver len chceme pripomenúť, že v rámci SvetApple sme spustili bazár, ktorý sa už pomaly napĺňa inzerátmi. Tie sem môžete pridať úplne zadarmo kliknutím na tento odkaz. Potrvá vám to sotva niekoľko sekúnd a zároveň máte šancu, že váš inzerát budeme zdieľať na našich sociálnych sieťach. Sleduje nás dokopy viac ako 40 000 ľudí. Tak na čo ešte čakáte?
