0
0
Um spyware do macOS anteriormente desconhecido surgiu em uma campanha altamente direcionada, que exfiltra documentos, pressionamentos de tecla, capturas de tela e muito mais de máquinas da Apple. Curiosamente, ele usa exclusivamente serviços de armazenamento em nuvem pública para hospedar cargas úteis e para comunicações de comando e controle (C2) — uma escolha de design incomum que dificulta o rastreamento e a análise da ameaça.
Apelidado de CloudMensis pelos pesquisadores da ESET que o descobriram, o backdoor foi desenvolvido em Objective-C. A análise da ESET do malware lançada esta semana mostra que, após o comprometimento inicial, os ciberataques por trás da campanha obtêm execução de código e escalonamento de privilégios usando vulnerabilidades conhecidas. Em seguida, eles instalam um componente de carregador de primeiro estágio que recupera a carga útil real do spyware de um provedor de armazenamento em nuvem. Na amostra analisada pela empresa, o pCloud foi usado para armazenar e entregar o segundo estágio, mas o malware também suporta Dropbox e Yandex como repositórios de nuvem.
O componente espião então começa a coletar um bando de dados confidenciais do Mac comprometido, incluindo arquivos, anexos de e-mail, mensagens, gravações de áudio e pressionamentos de tecla. Ao todo, os pesquisadores disseram que ele suporta 39 comandos diferentes, incluindo uma diretiva para baixar malware adicional.
Todos os dados ilícitos são criptografados usando uma chave pública encontrada no agente espião; e requer uma chave privada, de propriedade dos operadores CloudMensis, para sua descriptografia, de acordo com a ESET.
Spyware na nuvem
O aspecto mais notável da campanha, além do fato de o spyware do Mac ser um achado raro, é o uso exclusivo de armazenamento em nuvem, de acordo com a análise.
“Os criminosos do CloudMensis criam contas em provedores de armazenamento em nuvem, como Dropbox ou pCloud”, explica Marc-Etienne M.Léveillé, pesquisador sênior de malware da ESET, ao Dark Reading. “O spyware CloudMensis contém tokens de autenticação que permitem fazer upload e download de arquivos dessas contas. Quando os operadores querem enviar um comando para um de seus bots, eles carregam um arquivo para o armazenamento em nuvem. O agente espião CloudMensis buscará esse arquivo , descriptografe-o e execute o comando. O resultado do comando é criptografado e carregado no armazenamento em nuvem para que os operadores baixem e descriptografem.”
Essa técnica significa que não há nome de domínio nem endereço IP nas amostras de malware, acrescenta: “A ausência desse indicador dificulta o rastreamento da infraestrutura e o bloqueio do CloudMensis no nível da rede”.
Embora seja uma abordagem notável, já foi usada no mundo do PC antes por grupos como Inception (também conhecido como Cloud Atlas) e APT37 (também conhecido como Reaper ou Group 123). No entanto, “acho que é a primeira vez que o vemos em malware para Mac”, observa M.Léveillé.
Atribuição, vitimologia permanecem um mistério
Até agora, as coisas estão nebulosas quando se trata da proveniência da ameaça. Uma coisa que está clara é que a intenção dos perpetradores é espionagem e roubo de propriedade intelectual – potencialmente uma pista sobre o tipo de ameaça, já que a espionagem é tradicionalmente o domínio de ameaças persistentes avançadas (APTs).
No entanto, os artefatos que a ESET conseguiu descobrir dos ataques não mostraram vínculos com operações conhecidas.
“Não poderíamos atribuir esta campanha a um grupo conhecido, nem pela semelhança de código nem pela infraestrutura”, diz M.Léveillé.
Outra pista: a campanha também é bem direcionada – geralmente a marca registrada de atores mais sofisticados.
“Metadados de contas de armazenamento em nuvem usados pelo CloudMensis revelaram que as amostras que analisamos foram executadas em 51 Macs entre 4 de fevereiro e 22 de abril”, diz M.Léveillé. Infelizmente, “não temos informações sobre a geolocalização ou vertical das vítimas porque os arquivos são excluídos do armazenamento em nuvem”.
No entanto, contrariando os aspectos APT-ish da campanha, o nível de sofisticação do malware em si não é tão impressionante, observou a ESET.
“A qualidade geral do código e a falta de ofuscação mostram que os autores podem não estar muito familiarizados com o desenvolvimento para Mac e não são tão avançados”, de acordo com o relatório .
M.Léveillé caracteriza o CloudMensis como uma ameaça média-avançada e observou que, ao contrário do formidável spyware Pegasus do NSO Group , o CloudMensis não cria exploits de dia zero em seu código.
“Nós não vimos CloudMensis usar vulnerabilidades não reveladas para contornar as barreiras de segurança da Apple”, diz M.Léveillé. “No entanto, descobrimos que o CloudMensis usou vulnerabilidades conhecidas (também conhecidas como um dia ou n-dia) em Macs que não executam a versão mais recente do macOS [para contornar mitigações de segurança]. Não sabemos como o spyware do CloudMensis é instalado nos Macs das vítimas, então talvez eles usem vulnerabilidades não reveladas para esse propósito, mas só podemos especular. Isso coloca o CloudMensis em algum lugar no meio da escala de sofisticação, mais do que a média, mas também não é o mais sofisticado.”
Como proteger sua empresa do CloudMensis e Spyware
Para evitar se tornar uma vítima da ameaça CloudMensis, o uso de vulnerabilidades para contornar as mitigações do macOS significa que a execução de Macs atualizados é a primeira linha de defesa para as empresas, de acordo com a ESET. Embora o vetor de comprometimento inicial não seja conhecido neste caso, a implementação de todo o restante do básico, como senhas fortes e treinamento de reconhecimento de phishing, também é uma boa defesa.
Os pesquisadores também recomendaram ativar o novo recurso Lockdown Mode da Apple .
“A Apple reconheceu recentemente a presença de spyware direcionado aos usuários de seus produtos e está visualizando o Lockdown Mode no iOS, iPadOS e macOS, que desativa recursos frequentemente explorados para obter execução de código e implantar malware”, de acordo com a análise. “Desativar os pontos de entrada, às custas de uma experiência de usuário menos fluida, parece uma maneira razoável de reduzir a superfície de ataque”.
Acima de tudo, M.Léveillé adverte as empresas contra serem iludidas por uma falsa sensação de segurança quando se trata de Macs. Embora o malware direcionado a Macs tenha sido tradicionalmente menos prevalente do que as ameaças do Windows ou do Linux, isso agora está mudando .
“As empresas que usam Macs em sua frota devem protegê-los da mesma forma que protegeriam computadores com Windows ou qualquer outro sistema operacional”, adverte. “Com as vendas de Mac aumentando ano após ano, seus usuários se tornaram um alvo interessante para criminosos com motivação financeira. Os grupos de ameaças patrocinados pelo Estado também têm recursos para se adaptar a seus alvos e desenvolver o malware de que precisam para cumprir suas missões, independentemente do sistema operacional.”
FONTE: DARK READING