Raziskovalci varnostnega podjetja ESET so odkrili novo vrsto zlonamerne programske opreme, znano kot CloudMensis. To izkorišča sisteme macOS za vohunjenje za uporabniki in krajo njihovih zasebnih podatkov, vključno z dokumenti, e-poštnimi prilogami in pritiski na tipke. Zlonamerno programsko opremo je mogoče uporabiti tudi za zajemanje posnetkov zaslona na napravi žrtve.
CloudMensis uporablja zakulisna vrata naprav macOS za krajo podatkov
Ugotovljeno je bilo, da zlonamerna programska oprema CloudMensis izkorišča javno dostopno ponudniki shranjevanja v oblaku, kot je DropBox, pCloud in Yandex Disk, da bi se infiltrirali v dani sistem macOS in ukradli uporabniške podatke. V objava o CloudMensis, ga je ESET opisal kot "prej neznana zadnja vrata macOS".
Ker lahko CloudMensis zaobide Applovo soglasje in nadzor preglednosti macOS (TCC), ima možnost za ogled dejavnosti uporabnika na njegovi napravi macOS v realnem času in pridobivanje podatkov iz shrambe v oblaku programi. Dolg seznam nadzornih ukazov CloudMensis prav tako omogoča izvajanje številnih dejanj na napravi dane žrtve brez njihovega dovoljenja ali vednosti.
Ta zmožnost obhoda Applovega macOS TCC nakazuje, da CloudMensis nikakor ni osnovna vrsta zlonamerne programske opreme. Namesto tega je precej zaskrbljujoča njegova raven prefinjenosti.
CloudMensis morda cilja na naprave visoke vrednosti
Čeprav je bil CloudMensis uradno odkrit aprila 2022, se prvi zabeleženi napad zgodi dva meseca prej, 4. februarja. Od takrat do aprila je bilo le 51 uporabnikov žrtev te zlonamerne programske opreme.
Čeprav se morda sliši razbremenilno, da je zlonamerna programska oprema CloudMensis do zdaj prizadela tako majhno število žrtev, to nakazuje, da operaterji ciljajo na določene uporabnike za napad. Torej, namesto da bi zlonamerno programsko opremo razširili na kateri koli računalnik, ki bi jo sprejel, se ti napadalci najverjetneje osredotočajo na posameznike, ki imajo morda kaj dragocenega za ukrasti.
Zdi se, da operaterji CloudMensis ne poznajo macOS
Čeprav je CloudMensis očitno eden bolj sofisticiranih vrste zlonamerne programske opreme, se zdi, da njegovi operaterji niso dobro seznanjeni s sistemi macOS. To vemo, ker se zdi, da so njihove izkušnje s kodiranjem Objective-C (jezik, ki se uporablja za naprave, ki podpirajo OS X in iOS) precej osnovne. Vendar to ne pomeni, da CloudMensis še vedno ni tveganje za uporabnike macOS.
CloudMensis je še naprej grožnja
Čeprav je ESET poročal, da v času pisanja ni bilo zabeleženih nobenih izkoriščanj zero-day z uporabo CloudMensis, ta zlonamerna programska oprema še vedno predstavlja resno grožnjo uporabnikom macOS.
ESET si še vedno prizadeva ugotoviti, kako se ta zlonamerna programska oprema prvotno širi in zakaj so tarča določeni uporabniki, kar pomeni, da bi lahko v prihodnosti prišlo do novih napadov. Uporabnikom svetujemo, naj posodabljajo svojo programsko opremo macOS, da povečajo raven varnosti svojih naprav.
