Istraživači sigurnosne tvrtke ESET otkrili su novu vrstu malwarea poznatu kao CloudMensis. Ovo iskorištava macOS sustave kako bi špijunirao korisnike i ukrao njihove privatne podatke, uključujući dokumente, privitke e-pošte i tipke. Zlonamjerni se softver također može koristiti za snimanje snimaka zaslona na žrtvinom uređaju.
CloudMensis koristi stražnja vrata macOS uređajima za krađu podataka
Utvrđeno je da zlonamjerni softver CloudMensis iskorištava javno dostupan pružatelji usluga pohrane u oblaku kao što je DropBox, pCloud i Yandex Disk kako bi se infiltrirali u određeni macOS sustav i ukrali korisničke podatke. U post o CloudMensisu, ESET ga je opisao kao "prethodno nepoznata stražnja vrata za macOS".
Budući da CloudMensis može zaobići Appleov macOS Transparency Consent and Control (TCC), ima mogućnost za pregled aktivnosti korisnika na njihovom macOS uređaju u stvarnom vremenu i izdvajanje podataka iz pohrane u oblaku programa. CloudMensisov dugačak popis naredbi za nadzor također mu omogućuje izvođenje niza radnji na uređaju određene žrtve bez njezina ovlaštenja ili znanja.
Ova mogućnost zaobilaženja Appleovog macOS TCC-a sugerira da CloudMensis nipošto nije osnovna vrsta zlonamjernog softvera. Umjesto toga, njegova razina sofisticiranosti prilično je zabrinjavajuća.
CloudMensis možda cilja na uređaje visoke vrijednosti
Iako je CloudMensis službeno otkriven u travnju 2022., prvi zabilježeni napad seže dva mjeseca prije, 4. veljače. Od tada do travnja samo je 51 korisnik postao žrtva ovog malwarea.
Iako može zvučati olakšavajuće da je tako mali broj žrtava do sada pogođen zlonamjernim softverom CloudMensis, to sugerira da operateri ciljaju na određene korisnike koje napadaju. Dakle, umjesto širenja zlonamjernog softvera na bilo koje računalo koje ga prihvaća, ovi napadači najvjerojatnije idu na pojedince koji možda imaju nešto vrijedno za ukrasti.
Čini se da operateri CloudMensis-a nisu upoznati s macOS-om
Iako je CloudMensis očito jedan od sofisticiranijih vrste zlonamjernog softvera, čini se da njegovi operateri nisu dobro upućeni u macOS sustave. Znamo to jer se čini da je njihovo iskustvo s Objective-C kodiranjem (jezik koji se koristi za uređaje koji podržavaju OS X i iOS) prilično osnovno. Ali to ne znači da CloudMensis još uvijek nije rizik za korisnike macOS-a.
CloudMensis i dalje predstavlja prijetnju
Iako je ESET izvijestio da u vrijeme pisanja ovog članka nije zabilježen nijedan zero-day exploit koji koristi CloudMensis, ovaj malware još uvijek predstavlja ozbiljnu prijetnju korisnicima macOS-a.
ESET još uvijek radi na utvrđivanju kako se ovaj zlonamjerni softver inicijalno širi i zašto su određeni korisnici ciljani, što znači da bi se u budućnosti moglo dogoditi više napada. Korisnicima se savjetuje da ažuriraju svoj softver macOS kako bi povećali razinu sigurnosti svojih uređaja.
