Недавно обнаруженная вредоносная программа для macOS шпионила (откроется в новой вкладке) на пользователей и использование общедоступного облака в качестве своего сервера управления и контроля (C2).
По словам исследователей из ESET, цель кампании — извлечь как можно больше данных из целей. Сюда входят документы, сообщения электронной почты и вложения, а также списки файлов со съемных носителей. Более того, шпионское ПО способно регистрировать нажатия клавиш и делать скриншоты.
Назвав его CloudMensis, команда ESET также добавила, что его относительно ограниченное распространение предполагает целенаправленную операцию, а не широкомасштабную атаку. Злоумышленники, чьи личности пока неизвестны, не использовали уязвимости нулевого дня для своей кампании, что привело исследователей к выводу, что пользователи macOS, чьи конечные точки (откроется в новой вкладке) обновлены, должны быть безопасными.
Десятки команд
«Мы до сих пор не знаем, как изначально распространяется CloudMensis и кто является целью. Общее качество кода и отсутствие обфускации показывают, что авторы могут быть не очень хорошо знакомы с разработкой для Mac и не настолько продвинуты. Тем не менее, было затрачено много ресурсов, чтобы сделать CloudMensis мощным шпионским инструментом и угрозой для потенциальных целей», — объясняет исследователь ESET Марк-Этьен Левей.
Исследователи добавили, что CloudMensis — это многоэтапная кампания. Во-первых, вредоносное ПО будет искать возможность выполнять код, а также административные привилегии. После этого он запускал дроппер, который извлекал более мощное вредоносное ПО второго уровня из облачного хранилища.
Всего вредоносная программа второго уровня имеет 39 команд, включая эксфильтрацию данных, захват скриншотов и тому подобное.
Для связи с вредоносным ПО злоумышленники используют трех разных поставщиков публичных облачных сервисов: pCloud, Яндекс Диск и Dropbox. Кампания стартовала в начале февраля 2022 года.
Согласно ESET, Apple признала наличие шпионского ПО, нацеленного на ее пользователей, и готовит меры по смягчению последствий в виде режима блокировки для iOS, iPadOS и macOS. Этот инструмент отключит функции, которые злоумышленники обычно используют для получения привилегий выполнения кода на целевой конечной точке.
