Nowe złośliwe oprogramowanie szpiegujące CloudMensis może pobierać dane z komputerów Mac. Niestety nie jest to dobra wiadomość.
Badacze bezpieczeństwa twierdzą, że oprogramowanie szpiegowskie CloudMensis może pozwolić na pobieranie plików, przechwytywanie uderzeń klawiszy, robienie zrzutów ekranu i wiele więcej na komputerze Mac. To konkretne oprogramowanie szpiegujące jest aktywnie wykorzystywane od lutego i wydaje się być skierowane do konkretnych osób.
Oto wszystkie szczegóły:
W macOS odkryto nieznany wcześniej backdoor, który jest obecnie wykorzystywany do szpiegowania skompromitowanych użytkowników komputerów Mac.
Po raz pierwszy odkryte przez badaczy z firmy ESET zajmującej się bezpieczeństwem komputerowym, nowe złośliwe oprogramowanie zostało nazwane CloudMensis. Możliwości CloudMensisa wskazują, że jego twórcy zaprojektowali go do zbierania informacji z komputerów Mac ofiar, a złośliwe oprogramowanie jest w stanie przechwytywać dokumenty i naciśnięcia klawiszy, wymieniać wiadomości e-mail i załączniki, wymieniać pliki z wymiennych archiwów i robić zrzuty ekranu.
Chociaż CloudMensis z pewnością stanowi zagrożenie dla użytkowników komputerów Mac, jego bardzo ograniczona dystrybucja sugeruje, że ma on być wykorzystany jako część operacji celowej. Na podstawie tego, co do tej pory zaobserwowali badacze z firmy ESET, odpowiedzialni za to cyberprzestępcy dystrybuują złośliwe oprogramowanie w celu wycelowania w konkretnych użytkowników, którzy są dla nich interesujący.
Nie wiemy jeszcze, jak CloudMensis jest początkowo dystrybuowany i kto jest jego celem. Ogólna jakość kodu wskazuje na to, że autorzy mogą nie być zbyt obeznani z rozwojem Maca i nie są aż tak zaawansowani. Jednak wiele środków zostało włożonych w to, aby CloudMensis stał się potężnym narzędziem szpiegowskim i zagrożeniem dla potencjalnych celów.
Chociaż powszechne jest, że złośliwe oprogramowanie typu “phone home” odbiera polecenia i pobiera dodatkowe składniki złośliwego oprogramowania, zwykle oznacza to połączenie z prywatnym serwerem prowadzonym przez atakującego. CloudMensis jest o tyle nietypowy, że może działać na usługach przechowywania danych w chmurze.
Po uzyskaniu wykonania kodu i uprawnień administracyjnych na skompromitowanym komputerze Mac, atak wykonuje złośliwe oprogramowanie pierwszego etapu, które pobiera drugi etap z dodatkową funkcjonalnością z usługi przechowywania w chmurze.
Drugi etap to znacznie większy, bogaty w funkcje komponent do zbierania informacji ze skompromitowanego Maca. Choć obecnie dostępnych jest 39 poleceń, druga faza CloudMensis ma na celu przejęcie od ofiar dokumentów, zrzutów ekranu, załączników do e-maili i innych informacji. Nie jest jeszcze jasne, w jaki sposób złośliwe oprogramowanie jest w stanie pokonać zabezpieczenia macOS, ponieważ ESET twierdzi, że nie wykorzystuje ono ukrytych luk.
Fakt, że oprogramowanie szpiegowskie jest używane w sposób ukierunkowany, oznacza, że większość użytkowników komputerów Mac nie musi się martwić. Niepokojące jest jednak to, że CloudMensis jest w stanie zdalnie obejść zabezpieczenia w systemie macOS bez wykorzystania luki zero-day.
