CloudMensis: lo spyware per Mac è popolare tra i criminali informatici. Dopo DazzleSpy (gennaio 2022) e Gimmick (marzo 2022), i ricercatori ESET hanno scoperto il terzo malware spia ad alto rischio. Lo spyware precedentemente sconosciuto, soprannominato CloudMensis da ESET, spia ampiamente i computer Apple infetti dal febbraio 2022.
I documenti e le sequenze di tasti vengono registrati, i messaggi di posta elettronica e gli allegati vengono salvati, i file vengono copiati da supporti rimovibili e vengono effettuate registrazioni dello schermo. I servizi di cloud storage come Dropbox, pCloud e Yandex Disk sono di particolare importanza: servono sia come mezzo di comunicazione tra vittima e aggressore sia come archivio per ulteriori malware e le informazioni catturate.
Servizi di cloud storage come fulcro
Una volta che CloudMensis è in esecuzione e ottiene privilegi amministrativi, scarica più malware ricco di funzionalità da un servizio di archiviazione online. Questo codice dannoso è dotato di una serie di strumenti di spionaggio per raccogliere informazioni dal Mac compromesso. L'intento degli aggressori è chiaramente quello di rubare documenti, screenshot, allegati di posta elettronica e altri dati sensibili.
CloudMensis utilizza il cloud storage sia per ricevere comandi dai suoi operatori sia per esfiltrare i file. Lo spyware utilizza tre diversi provider: pCloud, Yandex Disk e Dropbox.
La distribuzione limitata di CloudMensis suggerisce che lo spyware viene distribuito come parte di un'operazione mirata. Secondo i ricercatori ESET, gli operatori di questa famiglia di malware utilizzano CloudMensis solo per scopi molto specifici e redditizi. Lo sfruttamento delle vulnerabilità per aggirare le difese di macOS mostra che gli operatori di malware stanno attivamente cercando di massimizzare il successo delle loro operazioni di spionaggio. Sebbene le indagini non abbiano rilevato alcuna vulnerabilità precedentemente sconosciuta (zero giorni), è stato dimostrato l'utilizzo di "vecchie" lacune di sicurezza note. Uno di questi è la vulnerabilità CVE-2020-9934, che può aggirare la protezione dell'integrità del sistema (SIP) di Apple. I ricercatori ESET consigliano quindi di utilizzare un Mac con il sistema operativo più recente per evitare di aggirare le misure di sicurezza.
Apple è a conoscenza del problema dello spyware
Alla fine di novembre 2021, Apple ha ammesso indirettamente che gli utenti potrebbero avere un problema con lo spyware. La causa contro la società tecnologica israeliana NSO Group suggerisce questa conclusione. Con questo, Apple vuole prevenire la sorveglianza e gli attacchi mirati ai propri utenti attraverso il loro software spia "Pegasus". Inoltre, gli sviluppatori Apple hanno recentemente presentato una nuova funzionalità di sicurezza chiamata Lockdown Mode in un'anteprima dei prossimi sistemi operativi iOS16, iPadOS16 e macOS Ventura. Ciò limita quelle funzioni che vengono regolarmente utilizzate per eseguire codice dannoso e diffondere malware.
“Non è ancora del tutto chiaro come CloudMensis sia stato originariamente distribuito e a cosa mirino gli aggressori. La qualità complessiva del codice e la mancanza di offuscamento suggeriscono che gli autori non sono né molto familiari né molto avanzati con lo sviluppo del Mac. Tuttavia, sono stati fatti molti sforzi per rendere CloudMensis un potente strumento di spionaggio. Rappresenta sicuramente una minaccia per i potenziali bersagli", spiega il ricercatore ESET Marc-Etienne Léveillé, che ha analizzato CloudMensis.
Altro su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.