Il malware macOS scoperto di recente ha spiato (si apre in una nuova scheda) gli utenti e ha utilizzato il cloud pubblico come server di comando e controllo (C2).
Secondo i ricercatori ESET, l'obiettivo della campagna è estrarre quanti più dati possibile dagli obiettivi. Ciò include documenti, e-mail e allegati, nonché elenchi di file di archivio rimovibili. Inoltre, lo spyware è in grado di registrare le sequenze di tasti e acquisire schermate.
Soprannominandolo CloudMensis, il team ESET ha aggiunto che la sua distribuzione relativamente limitata suggerisce un'operazione mirata piuttosto che un attacco diffuso. Gli aggressori, le cui identità sono ancora sconosciute, non hanno sfruttato alcuna vulnerabilità zero-day per la loro campagna, portando i ricercatori a concludere che gli utenti macOS i cui terminali (si apre in una nuova scheda) sono aggiornati dovrebbero essere al sicuro.
decine di comandi
“Non sappiamo ancora come venga inizialmente distribuito CloudMensis e chi siano i target. La qualità complessiva del codice e la mancanza di offuscamento mostrano che gli autori potrebbero non avere molta familiarità con lo sviluppo Mac e non sono così avanzati. Tuttavia, molte risorse sono state investite per rendere CloudMensis un potente strumento di spionaggio e una minaccia per potenziali obiettivi", spiega Marc-Etienne Léveillé, ricercatore presso ESET.
CloudMensis è una campagna in più fasi, hanno aggiunto i ricercatori. In primo luogo, il malware cercherà la capacità di eseguire codice, nonché i privilegi di amministratore. Successivamente, eseguirà un contagocce che estrarrà malware di seconda fase più potenti dall'archiviazione cloud.
In totale, il malware di seconda fase ha 39 comandi, inclusi esfiltrazione di dati, screenshot, ecc.
Per comunicare con il malware, gli aggressori utilizzano tre diversi provider di cloud pubblico: pCloud, Yandex Disk e Dropbox. La campagna è iniziata all'inizio di febbraio 2022.
Secondo ESET, Apple ha riconosciuto la presenza di spyware che prendono di mira i propri utenti e sta preparando misure di mitigazione sotto forma di modalità di blocco per iOS, iPadOS e macOS. Questo strumento disabiliterebbe le funzionalità che vengono spesso sfruttate dagli hacker per ottenere privilegi di esecuzione del codice sul dispositivo di destinazione.