Шпионское ПО CloudMensis годами скрывалось от ИБ-специалистов

Ср 20 Июль 2022 08:47

Специалисты из ESET обнаружили новую вредоносную программу, получившую название CloudMensis. Вредонос написан на языке Objective-C и представляет из себя шпионское ПО и бэкдор в одном флаконе, направленные на устройства с чипами Intel и Apple .

Экспертам пока неясно как распространяется шпионское ПО. Однако известно, что с февраля оно было частью небольшого количества целевых атак. Кроме этого, CloudMensis использует некоторые уязвимости Safari, обнаруженные и исправленные в 2017 году, поэтому специалисты считают, что вредонос может существовать уже несколько лет. Еще у шпионского ПО была найдена интересная особенность – оно не использует 0-day уязвимости.

CloudMensis развертывается в два этапа после того, как хакер получает привилегии администратора и возможность выполнять произвольный код. Компонент первого этапа загружает и выполняет основную полезную нагрузку в качестве общесистемного демона.

После развертывания на Mac, вредоносная программа собирает документы, скриншоты и вложения электронной почты. Кроме этого, CloudMensis обходит систему TCC (Transparency, Consent and Control), которая уведомляет пользователя о том, что приложение пытается получить доступ к определенным функциям, после чего получает возможности кейлоггинга, создания скриншотов экрана жертвы и сканирования хранилища на предмет нужных документов. Вредонос также принимает 39 команд, которые используются для выполнения shell-команд, а также загрузки и выполнения произвольных файлов.

Операторы крадут данные и контролируют шпионское ПО с помощью облачных сервисов, таких как pCloud, Yandex Disk и Dropbox.

По словам исследователей, общее качество кода и его простота говорят о том, что разработчики CloudMensis не очень опытны в разработке вредоносного ПО для Mac. Тем не менее, CloudMensis остается мощным инструментом, который может использоваться для шпионажа и кражи данных.

Напомним, в бета-версии iOS 16 Apple уже выпустила новый режим, защищающий пользователя от шпионского ПО. Lockdown mode блокирует некоторые функции, чтобы защитить пользователей с высоким уровнем риска от «целенаправленных кибератак».

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 259 дней 22 часа 57 минут 2 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.