В апреле 2022 года исследователи ESET обнаружили ранее неизвестный бэкдор для macOS, который шпионит за пользователями скомпрометированного Mac и использует исключительно публичные облачные сервисы хранения данных для связи туда-сюда со своими операторами.Его возможности ясно показывают, что целью операторов является сбор информации с компьютеров жертв путем перехвата документов, нажатий клавиш и захвата экрана.
Недавно компания Apple признала наличие шпионских программ, нацеленных на пользователей ее продуктов, и представила предварительную версию режима Lockdown Mode на iOS, iPadOS и macOS, который отключает функции, часто используемые для выполнения кода и развертывания вредоносного ПО. Хотя CloudMensis не является самым продвинутым вредоносным ПО, он может быть одной из причин, по которой некоторые пользователи захотят включить эту дополнительную защиту. Отключение точек входа, за счет менее гибкого пользовательского опыта, звучит как разумный способ уменьшить площадь атаки.
CloudMensis
CloudMensis - это вредоносное ПО для macOS, разработанное на языке Objective-C. Проанализированные нами образцы собраны для кремниевых архитектур Intel и Apple. Мы до сих пор не знаем, как жертвы изначально подвергаются этой угрозе. Однако мы понимаем, что после выполнения кода и получения административных привилегий происходит двухэтапный процесс, в ходе которого первый этап загружает и выполняет более функциональный второй этап. Интересно, что вредоносная программа первого этапа получает свой следующий этап из облачного хранилища. Она не использует общедоступную ссылку; она включает маркер доступа для загрузки файла MyExecute с диска. В проанализированном нами образце для хранения и доставки второго этапа использовался pCloud.
Артефакты, оставленные в обоих компонентах, указывают на то, что их авторы называют их execute и Client, причем первый является загрузчиком, а второй - агентом-шпионом. Эти имена встречаются как в абсолютных путях объектов, так и в специальных подписях.
CloudMensis представляет угрозу для пользователей Mac, но его очень ограниченное распространение позволяет предположить, что он используется как часть целенаправленной операции. Операторы этого семейства вредоносных программ направляют CloudMensis на конкретные цели, которые представляют для них интерес. Использование уязвимостей для обхода macOS показывает, что операторы вредоносного ПО активно пытаются максимизировать успех своих шпионских операций. В то же время, в ходе исследования не было обнаружено ни одной нераскрытой уязвимости (zero-day), используемой этой группой. Таким образом, рекомендуется использовать обновленный Mac, чтобы избежать, по крайней мере, обхода уязвимостей.
Мы до сих пор не знаем, как CloudMensis изначально распространяется и кто является его целью. Общее качество кода и отсутствие обфускации показывает, что авторы, возможно, не очень хорошо знакомы с разработкой Mac и не настолько продвинуты. Тем не менее, было потрачено много ресурсов, чтобы сделать CloudMensis мощным инструментом шпионажа и угрозой для потенциальных целей.
Indicators of Compromise
SHA1
- d7bf702f56ca53140f4f03b590e9afcbc83809db
- 0aa94d8df1840d734f25426926e529588502bc08
- c3e48c2a2d43c752121e55b909fc705fe4fdaef6