CloudMensis: el nou programari maliciós que espia operacions concretes dels usuaris de Mac

REDACCIÓ
Publicat: 
20-07-2022
Actualitzat: 03-08-2022 13:00
Temps aproximat lectura Temps aproximat de lectura:
  • CloudMensis: el nou programari maliciós que espia operacions concretes dels usuaris de Mac
    Peu de foto: 
    Imatge d'arxiu (Pixabay)

Els investigadors d'ESET van descobrir un backdoor per a macOS, fins ara desconegut, que espia als usuaris dels Macs compromesos i utilitza exclusivament els serveis d'emmagatzematge en el núvol públic per a comunicar-se constantment amb els seus operadors. Batejat com CloudMensis, les seves capacitats mostren clarament que la intenció dels operadors és recopilar informació dels Mac de les víctimes mitjançant l'exfiltración de documents i pulsacions de tecles, missatges de correu electrònic i els seus arxius adjunts, el llistat d'arxius de l'emmagatzematge extraïble i les captures de pantalla.

CloudMensis és una amenaça per als usuaris de Mac, però la seva distribució altament limitada suggereix que es fa servir com a part d'una operació dirigida. Els operadors d'aquesta família de programari maliciós despleguen CloudMensis en objectius específics del seu interès. L'ús de vulnerabilitats per a eludir les mesures de seguretat integrades en macOS mostra que els operadors de malware estan tractant activament de maximitzar l'èxit de les seves operacions d'espionatge. Al mateix temps, durant la recerca realitzada no s'ha trobat cap vulnerabilitat no revelada (de dia zero) utilitzada per aquest grup. Per tant, es recomana executar una actualització en els dispositius Mac per a evitar, almenys, que s'evitin les mesures de seguretat incorporades en el mateix sistema operatiu.

"Encara no sabem com es distribueix inicialment CloudMensis ni quins són els propòsits. La qualitat general del codi i la falta d'ofuscació mostren que els autors poden no estar molt familiaritzats amb el desenvolupament d'amenaces per a Mac i no són tan avançats. No obstant això, es van invertir molts recursos per a fer de CloudMensis una poderosa eina d'espionatge i una amenaça per als objectius potencials", declara Marc-Etienne Léveillé, l'investigador que ha analitzat CloudMensis.

Una vegada que CloudMensis aconsegueix executar codi en el sistema objectiu i obté privilegis d'administrador, executa una primera etapa del malware que s'encarrega de descarregar una segona fase més funcional des d'un servei d'emmagatzematge en el núvol.

Aquesta segona etapa és un component molt més gran, repleta d'una sèrie de funcions per a recopilar informació del Mac compromès. La clara intenció dels atacants és exfiltrar documents, captures de pantalla, arxius adjunts en correus electrònics i altres dades confidencials. En total, hi ha 39 comandos disponibles actualment.

CloudMensis utilitza l'emmagatzematge en el núvol tant per a rebre ordres dels seus operadors com per a robar arxius. L'amenaça suporta tres proveïdors diferents: pCloud, Yandex Disk i Dropbox. La configuració inclosa en la mostra analitzada conté tokens d'autenticació per a pCloud i Yandex Disk.

Les metadades dels serveis d'emmagatzematge en el núvol emprats revelen detalls interessants sobre l'operació, com el fet que va començar a transmetre comandos als bots a partir del 4 de febrer de 2022.

Apple ha reconegut recentment la presència de programari espia dirigit als usuaris dels seus productes i està avançant la manera Lockdown en iOS, iPadOS i macOS, que desactiva funcions sovint explotades per a obtenir l'execució de codi i desplegar malware.

Comparteix

També t'interessarà