ESET pētnieki atklāja iepriekš nezināmu macOS aizmugurējo durvju ļaunprogrammatūru, kas izspiego inficēto Mac lietotājus, saziņai ar uzbrucējiem izmantojot tikai publiskos mākoņkrātuvju pakalpojumus. ESET ir nosaucis ļaunprogrammatūru par CloudMensis, kuras mērķis ir vākt datus no Mac lietotāju datoriem, "ekstrahējot" informāciju no dokumentiem un pārlūkošanas vēstures: e-pasta ziņojumiem un pielikumiem, ekrānšāviņiem un failiem no noņemamās atmiņas.
CloudMensis apdraud Mac lietotājus, taču ļoti ierobežotā izplatība liecina, ka tas tiek izmantots tikai mērķtiecīgiem uzbrukumiem. ESET pētnieku atziņas liecina, ka šīs ļaunprogrammatūru saimes ieviesēji izmanto CloudMensis uz konkrētiem interesējošiem mērķiem. Ievainojamību izmantošana, lai apietu macOS drošības pasākumus, liecina, ka hakeri aktīvi cenšas maksimāli palielināt savu spiegošanas darbību panākumus. Mūsu pētījumā netika konstatētas nekādas neatklātas ievainojamības (piemēram, nulles dienas), ko šī grupa izmantotu. Tāpēc, lai izvairītos vai vismaz mazinātu CloudMensis ļaunprātīgo darbību iespējamās sekas, ieteicams atjaunināt datora operētājsistēmu.
"Mēs joprojām nezinām, kā CloudMensis tiek izplatīts un kas ir tā mērķauditorija. Kopējā koda kvalitāte un obfuskācijas trūkums liecina, ka autori, iespējams, nav ļoti labi iepazinušies ar Mac izstrādi un nav ļoti pieredzējuši. Tomēr ir ieguldīts liels darbs, lai CloudMensis kļūtu par spēcīgu spiegošanas rīku un draudu potenciālajiem mērķiem," skaidro ESET pētnieks Marks Etjēns Lēveilē (Marc-Etienne Léveillé), kurš analizēja šo ļaunprātīgo programmatūru.
Kad CloudMensis iegūst koda izpildes un administrēšanas privilēģijas, tas palaiž pirmā līmeņa ļaunprogrammatūru, kas no mākoņglabāšanas iegūst funkcionālāku otro līmeni.
Otrais posms ir daudz plašāks komponents, ar vairākām funkcijām, kas paredzētas informācijas vākšanai no bojātā Mac. Uzbrucēju nolūks šajā gadījumā nepārprotami ir iegūt dokumentus, ekrānšāviņus, e-pasta pielikumus un citus sensitīvus datus. Pašlaik ir pieejamas 39 komandas.
CloudMensis izmanto mākoņkrātuvi gan hakeru komandu saņemšanai, gan failu dzēšanai. Šo apdraudējumu atbalsta trīs dažādi pakalpojumu sniedzēji: pCloud, Yandex Disk un Dropbox. Analizētajā piemērā iekļautajā konfigurācijā (skatīt lapas beigas) ir pCloud un Yandex Disk autentifikācijas žetoni.
Izmantotās mākoņkrātuves metadati atklāj interesantu informāciju par šo darbību, piemēram, to, ka tā sāka sūtīt komandas botiem 2022. gada 4. februārī.
Uzņēmums Apple nesen atzina, ka tā produktu lietotāji ir kļuvuši par spiegprogrammatūru mērķauditoriju, un pārskatīja bloķēšanas režīmu iOS, iPadOS un macOS, kas atslēdz funkcijas, kuras bieži tiek izmantotas koda izpildei un ļaunprogrammatūru instalēšanai.
Kopsavilkums, kā CloudMensis izmanto mākoņglabāšanas pakalpojumus