0
0
O novo malware, chamado CloudMensis , foi descrito pela ESET como um spyware e um backdoor. Desenvolvido em Objective-C, o malware foi projetado para atingir dispositivos com chips Intel ou Apple.
Não está claro como o spyware é distribuído, mas parece estar envolvido em um número relativamente pequeno de ataques desde fevereiro, o que sugere que o malware foi usado como parte de uma operação direcionada, com os agentes de ameaças implantando-o apenas nos sistemas de certas vítimas.
Por outro lado, o CloudMensis aproveita algumas vulnerabilidades do Safari descobertas e corrigidas em 2017, o que sugere que a ameaça pode existir há vários anos. Vale a pena notar que o malware não parece explorar nenhuma falha de dia zero.
O malware é implantado em um processo de dois estágios depois que o invasor obtém a execução do código e os privilégios de administrador no sistema. O componente de primeiro estágio é responsável por baixar e executar a carga útil principal como um daemon de todo o sistema.
Uma vez implantado em um Mac, o CloudMensis pode coletar uma ampla variedade de informações, incluindo documentos, capturas de tela e anexos de e-mail. O malware aceita 39 comandos, inclusive para listar processos em execução, executar comandos shell e baixar e executar arquivos arbitrários.
Seus operadores controlam o malware e exfiltram dados usando serviços de nuvem como pCloud, Yandex Disk e Dropbox.
Para poder capturar a tela da vítima, registrar eventos do teclado e escanear o armazenamento em busca de documentos interessantes, o spyware tenta contornar um sistema chamado TCC (Transparência, Consentimento e Controle), que avisa o usuário quando um aplicativo tenta acessar determinadas funções .
De acordo com a ESET, o CloudMensis usa duas técnicas para contornar o TCC, inclusive através da exploração de uma vulnerabilidade descoberta em 2020 (CVE-2020–9934).
“A qualidade geral do código e a falta de ofuscação mostram que os autores podem não estar muito familiarizados com o desenvolvimento para Mac e não são tão avançados. No entanto, muitos recursos foram colocados para tornar o CloudMensis uma poderosa ferramenta de espionagem e uma ameaça a alvos em potencial”, disseram os pesquisadores da ESET.
A Apple está trabalhando para tornar mais difícil atacar seus produtos. A gigante da tecnologia anunciou recentemente um modo de bloqueio do sistema operacional que deve fornecer proteção extra aos usuários de iOS, iPadOS e macOS contra spyware mercenário patrocinado pelo estado.
Novo malware para macOS continua a surgir. Oito novas famílias de malware surgiram em 2021, incluindo ElectroRAT, SilverSparrow, XcodeSpy, ElectrumStealer, WildPressure, XLoader, ZuRu e CDDS (também conhecido como MacMa).
FONTE: SECURITYWEEK