I ricercatori ESET hanno scoperto un pericoloso malware Mac: CloudMensis. Al momento attuale la diffusione di questa componente è fortunatamente molto limitata.
Precedentemente sconosciuta, la backdoor macOS spia gli utenti di Mac compromessi. Inoltre utilizza esclusivamente servizi di archiviazione cloud pubblici per comunicare con i suoi operatori. Denominato CloudMensis perché usa i nomi dei mesi per classificare le directory, ha funzionalità che mostrano chiaramente l’intento degli hacker.
CloudMensis attacca gli utenti Mac
Cioè la raccolta di informazioni dai Mac delle vittime attraverso l’esfiltrazione di documenti e sequenze di tasti, l’elencazione di messaggi e-mail e allegati, di file presenti in archivi rimovibili e immagini di schermate. CloudMensis è una minaccia per gli utenti Mac. La sua distribuzione molto limitata suggerisce però che sia utilizzato come parte di un’operazione mirata. Secondo quanto rilevato da ESET Research, gli operatori di questa famiglia di malware distribuiscono CloudMensis su obiettivi specifici di loro interesse.
Malware Mac e backdoor macOS
L’uso di vulnerabilità per aggirare le mitigazioni di macOS dimostra che gli hacker cercano attivamente di massimizzare il successo delle loro operazioni di spionaggio. Allo stesso tempo, nel corso della ricerca non sono state rilevate vulnerabilità zero day utilizzate da questo gruppo. Pertanto, è consigliabile l’utilizzo di Mac aggiornati per evitare almeno eventuali elusioni della protezione.
Sconosciuta ancora la distribuzione
Marc-Etienne Léveillé, ricercatore ESET Non sappiamo ancora come CloudMensis sia stato distribuito inizialmente e quali siano gli obiettivi. La qualità generale del codice e la mancanza di offuscamento mostrano che gli autori potrebbero non avere molta familiarità con lo sviluppo di Mac e non siano così esperti. Ciononostante, sono state impiegate molte risorse per rendere CloudMensis un potente strumento di spionaggio e una minaccia per i potenziali obiettivi.
Arriva una minaccia che attacca gli utenti Mac: CloudMensis
Una volta ottenuta l’esecuzione del codice e i privilegi amministrativi, CloudMensis esegue un primo stadio del malware. Esso apre le porte a un secondo livello più ricco di funzionalità tramite un servizio di cloud storage. Questo secondo stadio è un componente molto più corposo, dotato di funzioni capaci di raccogliere informazioni dal Mac compromesso. L’intento degli aggressori è chiaramente quello di esfiltrare documenti, screenshot, allegati e-mail e altri dati sensibili. Complessivamente, sono stati individuati 39 comandi.
Utilizzo del cloud storage
CloudMensis utilizza il cloud storage sia per ricevere i comandi dai suoi operatori sia per esfiltrare i file. Supporta tre diversi provider: pCloud, Yandex Disk e Dropbox. La configurazione inclusa nel campione analizzato contiene token di autenticazione per pCloud e Yandex Disk. I metadati dei servizi di cloud storage utilizzati rivelano dettagli interessanti sull’operazione. Ad esempio ha iniziato a trasmettere comandi ai bot a partire dal 4 febbraio 2022.
Scoperta da ESET, CloudMensis attacca gli utenti Mac
Apple ha recentemente riconosciuto la presenza di spyware che prendono di mira gli utenti dei suoi prodotti. Per questo sta presentando in anteprima la modalità Lockdown su iOS, iPadOS e macOS, che disabilita le funzioni spesso sfruttate per ottenere l’esecuzione di codice e distribuire malware.
