CloudMensis : les logiciels espions pour Mac sont populaires auprès des cybercriminels. Après DazzleSpy (janvier 2022) et Gimmick (mars 2022), les chercheurs d'ESET ont découvert le troisième malware espion à haut risque. Le logiciel espion jusque-là inconnu, surnommé CloudMensis par ESET, espionne de manière intensive les ordinateurs Apple infectés depuis février 2022.
Les documents et les frappes au clavier sont enregistrés, les messages électroniques et les pièces jointes sont sauvegardés, les fichiers sont copiés à partir de supports amovibles et des enregistrements d'écran sont effectués. Les services de stockage en nuage tels que Dropbox, pCloud et Yandex Disk revêtent une importance particulière : ils servent à la fois de moyen de communication entre la victime et l'attaquant et de stockage pour d'autres logiciels malveillants et les informations capturées.
Les services de stockage en nuage comme clé de voûte
Une fois que CloudMensis est en cours d'exécution et obtient des privilèges administratifs, il télécharge davantage de logiciels malveillants riches en fonctionnalités à partir d'un service de stockage en ligne. Ce code malveillant est équipé d'un ensemble d'outils d'espionnage pour recueillir des informations sur le Mac compromis. L'intention des attaquants est clairement de voler des documents, des captures d'écran, des pièces jointes à des e-mails et d'autres données sensibles.
CloudMensis utilise le stockage cloud à la fois pour recevoir des commandes de ses opérateurs et pour exfiltrer des fichiers. Le logiciel espion utilise trois fournisseurs différents : pCloud, Yandex Disk et Dropbox.
La distribution limitée de CloudMensis suggère que le logiciel espion est déployé dans le cadre d'une opération ciblée. Selon les chercheurs d'ESET, les opérateurs de cette famille de logiciels malveillants n'utilisent CloudMensis qu'à des fins très spécifiques et lucratives. L'exploitation des vulnérabilités pour contourner les défenses de macOS montre que les opérateurs de logiciels malveillants tentent activement de maximiser le succès de leurs opérations d'espionnage. Bien que les enquêtes n'aient trouvé aucune vulnérabilité non divulguée auparavant (zéro jour), l'utilisation d'« anciennes » failles de sécurité connues a été prouvée. L'une d'elles est la vulnérabilité CVE-2020-9934, qui peut contourner la propre protection de l'intégrité du système (SIP) d'Apple. Les chercheurs d'ESET recommandent donc d'utiliser un Mac avec le dernier système d'exploitation pour éviter les contournements des mesures de sécurité.
Apple est conscient du problème des logiciels espions
Fin novembre 2021, Apple a indirectement admis que les utilisateurs pouvaient avoir un problème avec les logiciels espions. Le procès contre la société technologique israélienne NSO Group suggère cette conclusion. Avec cela, Apple veut empêcher la surveillance et les attaques ciblées sur ses propres utilisateurs via son logiciel espion "Pegasus". De plus, les développeurs Apple ont récemment présenté une nouvelle fonctionnalité de sécurité appelée Lockdown Mode dans un aperçu des prochains systèmes d'exploitation iOS16, iPadOS16 et macOS Ventura. Cela limite les fonctions qui sont régulièrement utilisées pour exécuter du code malveillant et propager des logiciels malveillants.
"On ne sait pas encore exactement comment CloudMensis a été distribué à l'origine et ce que les attaquants visent. La qualité globale du code et le manque d'obscurcissement suggèrent que les auteurs ne sont ni très familiers ni très avancés avec le développement Mac. Pourtant, beaucoup d'efforts ont été déployés pour faire de CloudMensis un puissant outil d'espionnage. Cela constitue définitivement une menace pour les cibles potentielles », explique le chercheur d'ESET Marc-Etienne Léveillé, qui a analysé CloudMensis.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.