Nový malware typu backdoor pro platformu macOS

Dosud neznámý špionážní malware, který špehuje uživatele napadených zařízení, nazvali výzkumní analytici společnosti ESET jako CloudMensis - ke komunikaci s útočníky využívá služby cloudových úložišť a adresáře označuje názvy měsíců.

Malware jako svůj řídící a kontrolní (C&C) kanál využívá tři různá cloudová úložiště - pCloud, Yandex Disk a Dropbox. Konfigurace obsažená v analyzovaném vzorku obsahuje autentizační tokeny pro pCloud a Yandex Disk. CloudMensis může vydávat 39 příkazů, včetně exfiltrace dokumentů, stisků kláves a snímků obrazovky na napadených zařízeních.

Metadata z použitých služeb cloudových úložišť ukázala, že první Mac útočníci kompromitovali 4. 2. 2022. Zatím velmi omezené rozšíření CloudMensis naznačuje, že jde o cílenou operaci.

CloudMensis představuje hrozbu pro uživatele počítačů Mac, ale jeho velmi omezené rozšíření naznačuje, že je používán jako součást cílené operace. Podle analýzy společnosti ESET využívají útočníci CloudMensis na konkrétní cíle, které jsou pro ně zajímavé.

Využití zranitelností k obejití bezpečnostních systémů operačního systému macOS ukazuje, že se útočníci aktivně snaží maximalizovat úspěch svých špionážních operací.

Během výzkumu zároveň analytici nezjistili žádné neznámé zranitelnosti (zero days), které by útočníci využívali.

ESET tedy doporučuje používat zařízení s aktualizovaným systémem macOS, aby se uživatelé vyhnuli alespoň obcházení bezpečnostních systémů.

Stále není jasné, jak se CloudMensis prvotně šíří a kdo jsou jeho cíle. Obecná kvalita kódu a absence obfuskace neboli zastíracích prvků v kódu ukazuje, že útočníci možná nejsou příliš obeznámeni s vývojem na počítačích Mac a nejsou příliš pokročilí - přesto ale vynaložili mnoho prostředků na to, aby se CloudMensis stal výkonným špionážním nástrojem a hrozbou pro potenciální cíle.

Jakmile CloudMensis získá administrátorská oprávnění ke spuštění malwaru, spouští v první fázi kód, který prostřednictvím cloudového úložiště rozšíří svou funkcionalitu.

Druhá fáze je mnohem rozsáhlejší část útoku, ve které malware již obsahuje řadu funkcí, díky kterým dokáže shromažďovat informace z napadených počítačů Mac.

Záměrem útočníků je zde jednoznačně exfiltrace dokumentů, pořizování snímků obrazovky, prohlížení e-mailových příloh a dalších citlivých dokumentů.

CloudMensis používá cloudová úložiště jak pro příjem příkazů od útočníků, tak pro odesílání exfiltrovaných dokumentů.

Článek ESET software spol. s r. o. ze dne středa 3. srpna 2022

Další články od ESET software spol. s r. o.