0
0
Os pesquisadores da ESET descobriram o CloudMensis, um backdoor do macOS que espiona usuários de Macs comprometidos e usa serviços de armazenamento em nuvem pública para se comunicar com seus operadores. Os recursos do backdoor mostram que a intenção dos operadores é coletar informações dos Macs das vítimas exfiltrando documentos e pressionamentos de tecla, listando mensagens de e-mail e anexos, listando arquivos de armazenamento removível e capturas de tela.
Resumo de como o CloudMensis usa serviços de armazenamento em nuvem
CloudMensis é uma ameaça para usuários de Mac, mas sua distribuição muito limitada sugere que é usado como parte de uma operação direcionada. Pelo que a ESET Research viu, os operadores desta família de malware implantam o CloudMensis em alvos específicos que são de seu interesse. O uso de vulnerabilidades para contornar as atenuações do macOS mostra que os operadores de malware estão tentando ativamente maximizar o sucesso de suas operações de espionagem. Ao mesmo tempo, não foram encontradas vulnerabilidades não divulgadas (zero dias) utilizadas por esse grupo durante a pesquisa. Assim, é recomendável executar um Mac atualizado para evitar, pelo menos, os desvios de mitigação.
“Ainda não sabemos como o CloudMensis é inicialmente distribuído e quem são os alvos. A qualidade geral do código e a falta de ofuscação mostram que os autores podem não estar muito familiarizados com o desenvolvimento para Mac e não são tão avançados. No entanto, muitos recursos foram investidos para tornar o CloudMensis uma poderosa ferramenta de espionagem e uma ameaça a alvos em potencial”, explica o pesquisador da ESET Marc-Etienne Léveillé , que analisou o CloudMensis.
Uma vez que o CloudMensis obtém execução de código e privilégios administrativos, ele executa um malware de primeiro estágio que recupera um segundo estágio com mais recursos de um serviço de armazenamento em nuvem.
Esse segundo estágio é um componente muito maior, repleto de vários recursos para coletar informações do Mac comprometido. A intenção dos invasores aqui é claramente exfiltrar documentos, capturas de tela, anexos de e-mail e outros dados confidenciais. Ao todo, existem 39 comandos disponíveis atualmente.
CloudMensis usa armazenamento em nuvem tanto para receber comandos de seus operadores quanto para exfiltrar arquivos. Ele suporta três provedores diferentes: pCloud, Yandex Disk e Dropbox. A configuração incluída no exemplo analisado contém tokens de autenticação para pCloud e Yandex Disk.
Os metadados dos serviços de armazenamento em nuvem utilizados revelam detalhes interessantes sobre a operação, por exemplo, que passou a transmitir comandos aos bots a partir de 4 de fevereiro de 2022.
A Apple reconheceu recentemente a presença de spyware direcionado aos usuários de seus produtos e está visualizando o Lockdown Mode no iOS, iPadOS e macOS, que desativa recursos frequentemente explorados para obter execução de código e implantar malware.
FONTE: HELPNET SECURITY