CloudMensis: шпигунське програмне забезпечення Mac користується популярністю серед кіберзлочинців. Після DazzleSpy (січень 2022 р.) і Gimmick (березень 2022 р.) дослідники ESET виявили третє шпигунське програмне забезпечення з високим ризиком. Раніше невідоме шпигунське програмне забезпечення, яке ESET назвало CloudMensis, активно шпигує за зараженими комп’ютерами Apple з лютого 2022 року.
Документи та натискання клавіш записуються, повідомлення електронної пошти та вкладення зберігаються, файли копіюються зі знімних носіїв і записуються екрани. Сервіси хмарних сховищ, такі як Dropbox, pCloud і Yandex Disk, мають особливе значення: вони служать і як середовище зв’язку між жертвою та зловмисником, і як сховище для подальшого шкідливого програмного забезпечення та отриманої інформації.
Сервіси хмарного зберігання як стрижень
Коли CloudMensis запускається та отримує адміністративні привілеї, він завантажує багатофункціональні зловмисне програмне забезпечення з онлайн-служби зберігання. Цей шкідливий код оснащений набором шпигунських інструментів для збору інформації зі зламаного Mac. Намір зловмисників явно полягає в тому, щоб викрасти документи, знімки екрана, вкладення електронної пошти та інші конфіденційні дані.
CloudMensis використовує хмарне сховище як для отримання команд від своїх операторів, так і для вилучення файлів. Шпигунська програма використовує три різних провайдера: pCloud, Яндекс Диск і Dropbox.
Обмежене розповсюдження CloudMensis свідчить про те, що шпигунське програмне забезпечення розгортається як частина цільової операції. За словами дослідників ESET, оператори цього сімейства зловмисних програм використовують CloudMensis лише для дуже конкретних і прибуткових цілей. Експлуатація вразливостей для обходу захисту macOS показує, що оператори зловмисного програмного забезпечення активно намагаються максимізувати успіх своїх шпигунських операцій. Хоча дослідження не виявили жодних раніше нерозкритих уразливостей (нуль днів), було доведено використання відомих «старих» прогалин у безпеці. Однією з них є уразливість CVE-2020-9934, яка може обійти власний захист цілісності системи (SIP) від Apple. Тому дослідники ESET рекомендують використовувати Mac з найновішою операційною системою, щоб уникнути обходу заходів безпеки.
Apple знає про проблему шпигунського ПЗ
Наприкінці листопада 2021 року Apple опосередковано визнала, що у користувачів можуть виникнути проблеми зі шпигунським програмним забезпеченням. Такий висновок наводить позов проти ізраїльської технологічної компанії NSO Group. Цим Apple хоче запобігти стеженню та цілеспрямованим атакам на своїх власних користувачів через шпигунське програмне забезпечення Pegasus. Крім того, нещодавно розробники Apple представили нову функцію безпеки під назвою Lockdown Mode в попередньому перегляді майбутніх операційних систем iOS16, iPadOS16 і macOS Ventura. Це обмежує ті функції, які регулярно використовуються для виконання зловмисного коду та поширення зловмисного програмного забезпечення.
«Поки що не зовсім зрозуміло, як спочатку розповсюджувався CloudMensis і що переслідують зловмисники. Загальна якість коду та відсутність обфускації свідчать про те, що автори не дуже знайомі та не дуже просунуті в розробці Mac. Тим не менш, було докладено багато зусиль, щоб зробити CloudMensis потужним інструментом шпигунства. Це безперечно становить загрозу для потенційних цілей», — пояснює дослідник ESET Марк-Етьєн Левейє, який аналізував CloudMensis.
Більше на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.