Os investigadores da ESET, empresa europeia líder em soluções de cibersegurança, descobriram um malware de macOS previamente desconhecido que espia utilizadores de Mac comprometidos e usa exclusivamente serviços de armazenamento na nuvem pública para comunicar com os seus operadores. Designado CloudMensis pela ESET, as suas capacidades mostram claramente que a intenção dos operadores é reunir informação sobre os Macs das vítimas roubando documentos, teclas, emails, anexos, ficheiros em armazenamento externo e capturas de ecrã.
O CloudMensis é uma ameaça para utilizadores de Mac, mas a sua distribuição limitada sugere que é usado como parte de uma operação seletiva. De acordo com a investigação da ESET, os operadores deste malware implementam-no em alvos específicos nos quais estão interessados. A exploração de vulnerabilidades para contornar mitigações de segurança do macOS mostram que os operadores do CloudMensis estão a tentar ativamente maximizar o sucesso da sua campanha de espionagem. No entanto, a ESET não detetou nenhuma vulnerabilidade zero-day a ser usada pelo grupo, pelo que recomenda que os utilizadores de Mac atualizem os seus sistemas de forma a pelo menos evitar os bypasses de mitigações de segurança.
“Continuamos a não saber como é que o CloudMensis é inicialmente distribuído e quem são os alvos. A qualidade geral do código e falta de ofuscação mostra que os autores podem não estar muito familiarizados com o desenvolvimento para macOS e não são muito avançados. No entanto, foram investidos muitos recursos para tornar o CloudMensis numa poderosa ferramenta de espionagem e uma ameaça para os potenciais alvos,” explica o investigador da ESET Marc-Etienne Léveillé.
A partir do momento em que o CloudMensis obtém privilégios de execução de código e administração, corre um malware de primeira fase que vai buscar a segunda fase a partir de um serviço de armazenamento na nuvem. Esta segunda fase consiste num componente muito maior, repleto de funcionalidades para recolher informação do Mac comprometido. A intenção dos atacantes aqui é claramente roubar documentos, anexos de email, capturas de ecrã e outros dados sensíveis. No total, existem 39 comandos disponíveis.
O CloudMensis usa armazenamento na nuvem tanto para receber comandos dos seus operadores como para roubar ficheiros. Suporta três fornecedores diferentes: pCloud, Yandex Disk e Dropbox. A configuração incluída na amostra analisada contém códigos e autenticação para pCloud e Yandex Disk. Os metadados destes serviços revelaram detalhes interessantes sobre a operação, incluindo que os comandos começaram a ser transmitidos para os bots a 4 de fevereiro de 2022.
A Apple reconheceu recentemente a presença de spyware direcionado aos utilizadores dos seus produtos, anunciando o Lockdown Mode em iOS, iPadOS e macOS, que desativa funcionalidades frequentemente exploradas para ganhar acesso a execução de código e implementação de malware.
Para mais informação técnica sobre o CloudMensis, consulte este artigo no WeLiveSecurity.