Этот жуткий бэкдор для macOS шпионит за вами, а вы этого не замечаете

Этот жуткий бэкдор для macOS шпионит за вами, а вы этого не замечаете

20 июля 2022 г.

Недавно обнаруженная вредоносная программа для macOS шпионила за пользователями и использовала общедоступное облако. в качестве сервера управления и контроля (C2).

По словам исследователей из ESET, цель кампании — извлечь как можно больше данных из целей. Сюда входят документы, сообщения электронной почты и вложения, а также списки файлов со съемных носителей. Более того, шпионское ПО способно регистрировать нажатия клавиш и делать скриншоты.

Назвав его CloudMensis, команда ESET также добавила, что его относительно ограниченное распространение предполагает целенаправленную операцию, а не широкомасштабную атаку. Злоумышленники, чьи личности пока неизвестны, не использовали уязвимости нулевого дня для своей кампании, что привело исследователей к выводу, что пользователи macOS, чьи конечные точки обновлены и должны быть в безопасности.

Десятки команд

«Мы до сих пор не знаем, как изначально распространяется CloudMensis и кто является целью. Общее качество кода и отсутствие обфускации показывают, что авторы могут быть не очень хорошо знакомы с разработкой для Mac и не настолько продвинуты. Тем не менее, было затрачено много ресурсов, чтобы сделать CloudMensis мощным шпионским инструментом и угрозой для потенциальных целей», — объясняет исследователь ESET Марк-Этьен Левей.

CloudMensis — это многоэтапная кампания, добавили исследователи. Во-первых, вредоносное ПО будет искать возможность выполнять код, а также административные привилегии. После этого он запускал дроппер, который извлекал более мощное вредоносное ПО второго уровня из облачного хранилища.

Всего вредоносная программа второго уровня имеет 39 команд, включая кражу данных, захват скриншотов и тому подобное.

Для связи с вредоносной программой злоумышленники используют трех разных облачных провайдеров: pCloud, Yandex Disk и Dropbox. Кампания стартовала в начале февраля 2022 года. 

По данным ESET, Apple признала наличие шпионского ПО, нацеленного на ее пользователей, и готовит меры по смягчению последствий в виде режима блокировки для iOS, iPadOS и macOS. . Этот инструмент отключит функции, которые злоумышленники обычно используют для получения привилегий выполнения кода на целевой конечной точке.

PREVIOUS ARTICLE
NEXT ARTICLE