CloudMensis: Mac casus yazılımı, siber suçlular arasında popülerdir. DazzleSpy (Ocak 2022) ve Gimmick'ten (Mart 2022) sonra, ESET araştırmacıları üçüncü yüksek riskli casus kötü amaçlı yazılımı ortaya çıkardı. ESET tarafından CloudMensis olarak adlandırılan ve önceden bilinmeyen casus yazılım, Şubat 2022'den bu yana virüslü Apple bilgisayarlarında kapsamlı bir şekilde casusluk yapıyor.
Belgeler ve tuş vuruşları kaydedilir, e-posta mesajları ve ekleri kaydedilir, çıkarılabilir ortamdan dosyalar kopyalanır ve ekran kayıtları yapılır. Dropbox, pCloud ve Yandex Disk gibi bulut depolama hizmetleri özellikle önemlidir: hem kurban ile saldırgan arasında bir iletişim ortamı hem de daha fazla kötü amaçlı yazılım ve yakalanan bilgiler için depolama işlevi görürler.
Temel unsur olarak bulut depolama hizmetleri
CloudMensis çalışmaya başlayıp yönetici ayrıcalıkları kazandıktan sonra, bir çevrimiçi depolama hizmetinden daha fazla özellikli kötü amaçlı yazılım indirir. Bu kötü amaçlı kod, güvenliği ihlal edilmiş Mac'ten bilgi toplamak için bir dizi casusluk aracıyla donatılmıştır. Saldırganların amacı açıkça belgeleri, ekran görüntülerini, e-posta eklerini ve diğer hassas verileri çalmak.
CloudMensis, hem operatörlerinden komutlar almak hem de dosyaları dışarı sızdırmak için bulut depolamayı kullanır. Casus yazılım üç farklı sağlayıcı kullanır: pCloud, Yandex Disk ve Dropbox.
CloudMensis'in sınırlı dağıtımı, casus yazılımın hedeflenen bir operasyonun parçası olarak konuşlandırıldığını gösteriyor. ESET araştırmacılarına göre, bu kötü amaçlı yazılım ailesinin operatörleri CloudMensis'i yalnızca çok özel ve kazançlı amaçlar için kullanıyor. Güvenlik açıklarının macOS savunmasını aşmak için kullanılması, kötü amaçlı yazılım operatörlerinin aktif olarak casusluk operasyonlarının başarısını en üst düzeye çıkarmaya çalıştıklarını gösteriyor. Araştırmalar daha önce açıklanmayan herhangi bir güvenlik açığı (sıfır gün) bulmasa da, bilinen "eski" güvenlik açıklarının kullanıldığı kanıtlanmıştır. Bunlardan biri, Apple'ın kendi Sistem Bütünlüğü Korumasını (SIP) atlayabilen CVE-2020-9934 güvenlik açığıdır. Bu nedenle ESET araştırmacıları, güvenlik önlemi atlamalarını önlemek için en son işletim sistemine sahip bir Mac kullanmanızı önerir.
Apple casus yazılım sorununun farkında
Kasım 2021'in sonunda Apple, kullanıcıların casus yazılımlarla ilgili bir sorun yaşayabileceğini dolaylı olarak kabul etti. İsrailli teknoloji şirketi NSO Group aleyhine açılan dava bu sonuca varıyor. Bununla Apple, "Pegasus" casus yazılımları aracılığıyla kendi kullanıcılarının gözetlenmesini ve hedefli saldırıları engellemek istiyor. Buna ek olarak, Apple geliştiricileri kısa bir süre önce piyasaya çıkacak iOS16, iPadOS16 ve macOS Ventura işletim sistemlerinin bir önizlemesinde Kilitleme Modu adlı yeni bir güvenlik özelliği sundu. Bu, kötü amaçlı kod yürütmek ve kötü amaçlı yazılım yaymak için düzenli olarak kullanılan işlevleri sınırlar.
“CloudMensis'in orijinal olarak nasıl dağıtıldığı ve saldırganların neyi amaçladığı henüz tam olarak belli değil. Kodun genel kalitesi ve karışıklık olmaması, yazarların Mac geliştirmeye ne çok aşina ne de çok ileri seviyede olduklarını gösteriyor. Yine de, CloudMensis'i güçlü bir casusluk aracı yapmak için çok çaba sarf edildi. CloudMensis'i analiz eden ESET araştırmacısı Marc-Etienne Léveillé, "Potansiyel hedefler için kesinlikle bir tehdit oluşturuyor" diye açıklıyor.
Daha fazlası ESET.com'da
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.