Ερευνητές της εταιρείας ασφαλείας ESET ανακάλυψαν ένα νέο είδος κακόβουλου λογισμικού γνωστό ως CloudMensis. Αυτό εκμεταλλεύεται συστήματα macOS προκειμένου να κατασκοπεύει τους χρήστες και να κλέβει τα προσωπικά τους δεδομένα, συμπεριλαμβανομένων εγγράφων, συνημμένων email και πληκτρολογήσεων. Το κακόβουλο λογισμικό μπορεί επίσης να χρησιμοποιηθεί για τη λήψη στιγμιότυπων οθόνης στη συσκευή του θύματος.
Το CloudMensis Backdoors macOS Devices για κλοπή δεδομένων
Βρέθηκε ότι το κακόβουλο λογισμικό CloudMensis εκμεταλλεύεται και διατίθεται δημόσια παρόχους αποθήκευσης cloud όπως το DropBox, pCloud και Yandex Disk προκειμένου να διεισδύσουν σε ένα δεδομένο σύστημα macOS και να κλέψουν δεδομένα χρήστη. Σε ένα ανάρτηση για το CloudMensis, η ESET το περιέγραψε ως "προηγουμένως άγνωστη κερκόπορτα macOS".
Επειδή το CloudMensis μπορεί να παρακάμψει τη συναίνεση και τον έλεγχο διαφάνειας (TCC) της Apple για το macOS, έχει τη δυνατότητα για να δείτε τη δραστηριότητα ενός χρήστη στη συσκευή του macOS σε πραγματικό χρόνο και να εξάγετε δεδομένα από την αποθήκευση στο cloud προγράμματα. Η μακρά λίστα εντολών επιτήρησης του CloudMensis του επιτρέπει επίσης να εκτελεί μια σειρά ενεργειών στη συσκευή ενός συγκεκριμένου θύματος χωρίς την εξουσιοδότηση ή τη γνώση του.
Αυτή η ικανότητα παράκαμψης του macOS TCC της Apple υποδηλώνει ότι το CloudMensis δεν είναι σε καμία περίπτωση βασικός τύπος κακόβουλου λογισμικού. Μάλλον, το επίπεδο πολυπλοκότητάς του είναι αρκετά ανησυχητικό.
Το CloudMensis ενδέχεται να στοχεύει συσκευές υψηλής αξίας
Ενώ το CloudMensis ανακαλύφθηκε επίσημα τον Απρίλιο του 2022, η πρώτη καταγεγραμμένη επίθεση εκτείνεται δύο μήνες πριν, στις 4 Φεβρουαρίου. Από τότε έως τον Απρίλιο, μόνο 51 χρήστες έχουν πέσει θύματα αυτού του κακόβουλου λογισμικού.
Αν και μπορεί να ακούγεται ανακουφιστικό το γεγονός ότι ένας τόσο μικρός αριθμός θυμάτων έχει επηρεαστεί μέχρι στιγμής από κακόβουλο λογισμικό CloudMensis, αυτό υποδηλώνει ότι οι χειριστές στοχεύουν συγκεκριμένους χρήστες για επίθεση. Έτσι, αντί να διαδώσουν το κακόβουλο λογισμικό σε οποιονδήποτε υπολογιστή θα το αποδεχτεί, αυτοί οι εισβολείς είναι πολύ πιθανό να αναζητήσουν άτομα που μπορεί να έχουν κάτι πολύτιμο να κλέψουν.
Οι χειριστές του CloudMensis δεν είναι εξοικειωμένοι με το macOS
Αν και το CloudMensis είναι προφανώς ένα από τα πιο εξελιγμένα στελέχη κακόβουλου λογισμικού, φαίνεται ότι οι χειριστές του δεν γνωρίζουν καλά τα συστήματα macOS. Το γνωρίζουμε αυτό καθώς η εμπειρία τους με την κωδικοποίηση Objective-C (γλώσσα που χρησιμοποιείται για συσκευές που υποστηρίζονται από OS X και iOS) φαίνεται να είναι αρκετά βασική. Αλλά αυτό δεν σημαίνει ότι το CloudMensis δεν αποτελεί ακόμα κίνδυνο για τους χρήστες macOS.
Το CloudMensis συνεχίζει να αποτελεί απειλή
Μολονότι η ESET έχει αναφέρει ότι δεν έχουν καταγραφεί εκμεταλλεύσεις μηδενικής ημέρας με χρήση του CloudMensis κατά τη στιγμή της γραφής, αυτό το κακόβουλο λογισμικό εξακολουθεί να αποτελεί σοβαρή απειλή για τους χρήστες macOS.
Η ESET εξακολουθεί να εργάζεται για να προσδιορίσει πώς διαδίδεται αρχικά αυτό το κακόβουλο λογισμικό και γιατί στοχοποιούνται ορισμένοι χρήστες, πράγμα που σημαίνει ότι θα μπορούσαν να συμβούν περισσότερες επιθέσεις στο μέλλον. Συνιστάται στους χρήστες να διατηρούν ενημερωμένο το λογισμικό macOS για να μεγιστοποιήσουν τα επίπεδα ασφάλειας των συσκευών τους.