CloudMensis: O spyware para Mac é popular entre os cibercriminosos. Depois do DazzleSpy (janeiro de 2022) e do Gimmick (março de 2022), os pesquisadores da ESET descobriram o terceiro malware espião de alto risco. O spyware anteriormente desconhecido, apelidado de CloudMensis pela ESET, tem espionado extensivamente os computadores Apple infectados desde fevereiro de 2022.
Documentos e pressionamentos de teclas são gravados, mensagens de e-mail e anexos são salvos, arquivos são copiados de mídia removível e gravações de tela são feitas. Os serviços de armazenamento em nuvem, como Dropbox, pCloud e Yandex Disk, são de particular importância: eles servem como um meio de comunicação entre a vítima e o invasor e como armazenamento para outros malwares e as informações capturadas.
Serviços de armazenamento em nuvem como o pivô
Depois que o CloudMensis está em execução e obtendo privilégios administrativos, ele baixa mais malwares com recursos avançados de um serviço de armazenamento online. Este código malicioso está equipado com um conjunto de ferramentas de espionagem para coletar informações do Mac comprometido. A intenção dos invasores é claramente roubar documentos, capturas de tela, anexos de e-mail e outros dados confidenciais.
CloudMensis usa armazenamento em nuvem para receber comandos de seus operadores e para exfiltrar arquivos. O spyware usa três provedores diferentes: pCloud, Yandex Disk e Dropbox.
A distribuição limitada do CloudMensis sugere que o spyware é implantado como parte de uma operação direcionada. De acordo com os pesquisadores da ESET, os operadores dessa família de malware usam o CloudMensis apenas para fins muito específicos e lucrativos. A exploração de vulnerabilidades para contornar as defesas do macOS mostra que os operadores de malware estão tentando ativamente maximizar o sucesso de suas operações de espionagem. Embora as investigações não tenham encontrado vulnerabilidades não divulgadas anteriormente (zero dias), o uso de falhas de segurança "antigas" conhecidas foi comprovado. Uma delas é a vulnerabilidade CVE-2020-9934, que pode contornar o próprio System Integrity Protection (SIP) da Apple. Os pesquisadores da ESET, portanto, recomendam usar um Mac com o sistema operacional mais recente para evitar desvios de medidas de segurança.
A Apple está ciente do problema de spyware
No final de novembro de 2021, a Apple admitiu indiretamente que os usuários poderiam ter problemas com spyware. O processo contra a empresa de tecnologia israelense NSO Group sugere essa conclusão. Com isso, a Apple quer impedir a vigilância e ataques direcionados a seus próprios usuários por meio de seu software espião "Pegasus". Além disso, os desenvolvedores da Apple apresentaram recentemente um novo recurso de segurança chamado Lockdown Mode em uma prévia dos próximos sistemas operacionais iOS16, iPadOS16 e macOS Ventura. Isso limita as funções que são usadas regularmente para executar códigos maliciosos e espalhar malware.
“Ainda não está totalmente claro como o CloudMensis foi originalmente distribuído e o que os invasores pretendem. A qualidade geral do código e a falta de ofuscação sugerem que os autores não estão muito familiarizados nem muito avançados com o desenvolvimento do Mac. Ainda assim, muito esforço foi feito para tornar o CloudMensis uma poderosa ferramenta de espionagem. Definitivamente, representa uma ameaça para alvos em potencial”, explica o pesquisador da ESET Marc-Etienne Léveillé, que analisou o CloudMensis.
Mais em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.