Ερευνητές της εταιρείας κυβερνοασφάλειας ESET ανέλυσαν ένα κακόβουλο λογισμικό macOS που δεν είχε τεκμηριωθεί στο παρελθόν, το οποίο φαίνεται να έχει χρησιμοποιηθεί σε στοχευμένες επιθέσεις για την κλοπή πολύτιμων πληροφοριών από παραβιασμένα συστήματα.
Το νέο κακόβουλο λογισμικό, που ονομάζεται CloudMensis, έχει περιγραφεί από την ESET ως ένα κομμάτι spyware και ως μια κερκόπορτα. Αναπτύχθηκε στο Objective-C, το κακόβουλο λογισμικό έχει σχεδιαστεί για να στοχεύει συσκευές με τσιπ Intel ή Apple.
Δεν είναι σαφές πώς διανέμεται το λογισμικό υποκλοπής spyware, αλλά φαίνεται ότι έχει εμπλακεί σε σχετικά μικρό αριθμό επιθέσεων από τον Φεβρουάριο, γεγονός που υποδηλώνει ότι το κακόβουλο λογισμικό έχει χρησιμοποιηθεί ως μέρος μιας στοχευμένης λειτουργίας, με τους φορείς απειλών να το αναπτύσσουν μόνο στα συστήματα ορισμένα θύματα.
Από την άλλη πλευρά, το CloudMensis αξιοποιεί ορισμένες ευπάθειες του Safari που ανακαλύφθηκαν και διορθώθηκαν το 2017, γεγονός που υποδηλώνει ότι η απειλή μπορεί να υπήρχε εδώ και αρκετά χρόνια. Αξίζει να σημειωθεί ότι το κακόβουλο λογισμικό δεν φαίνεται να εκμεταλλεύεται τυχόν ελαττώματα zero-day.
Το κακόβουλο λογισμικό αναπτύσσεται σε μια διαδικασία δύο σταδίων αφού ο εισβολέας αποκτήσει την εκτέλεση κώδικα και δικαιώματα διαχειριστή στο σύστημα. Το στοιχείο πρώτου σταδίου είναι υπεύθυνο για τη λήψη και την εκτέλεση του κύριου ωφέλιμου φορτίου ως δαίμονας σε όλο το σύστημα.
Μόλις αναπτυχθεί σε Mac, το CloudMensis μπορεί να συλλέξει ένα ευρύ φάσμα πληροφοριών, συμπεριλαμβανομένων εγγράφων, στιγμιότυπων οθόνης και συνημμένων email. Το κακόβουλο λογισμικό δέχεται 39 εντολές, συμπεριλαμβανομένης της καταχώρισης διαδικασιών που εκτελούνται, της εκτέλεσης εντολών φλοιού και της λήψης και εκτέλεσης αυθαίρετων αρχείων.
Οι χειριστές του ελέγχουν το κακόβουλο λογισμικό και διοχετεύουν δεδομένα χρησιμοποιώντας υπηρεσίες cloud όπως το pCloud, το Yandex Disk και το Dropbox.
Για να μπορέσει να καταγράψει την οθόνη του θύματος, να καταγράψει συμβάντα στο πληκτρολόγιο και να σαρώσει την αποθήκευση για ενδιαφέροντα έγγραφα, το λογισμικό υποκλοπής επιχειρεί να παρακάμψει ένα σύστημα που ονομάζεται TCC (Transparency, Consent and Control), το οποίο προτρέπει τον χρήστη όταν μια εφαρμογή προσπαθεί να αποκτήσει πρόσβαση σε ορισμένες λειτουργίες .
Σύμφωνα με την ESET, το CloudMensis χρησιμοποιεί δύο τεχνικές για να παρακάμψει το TCC, μεταξύ άλλων μέσω της εκμετάλλευσης μιας ευπάθειας που ανακαλύφθηκε το 2020 (CVE-2020–9934).
«Η γενική ποιότητα του κώδικα και η έλλειψη συσκότισης δείχνουν ότι οι συγγραφείς μπορεί να μην είναι πολύ εξοικειωμένοι με την ανάπτυξη Mac και να μην είναι τόσο προχωρημένοι. Ωστόσο, πολλοί πόροι διατέθηκαν για να γίνει το CloudMensis ένα ισχυρό εργαλείο κατασκοπείας και απειλή για πιθανούς στόχους», ανέφεραν οι ερευνητές της ESET.
Η Apple εργάζεται για να καταστήσει πιο δύσκολη την επίθεση στα προϊόντα της. Ο τεχνολογικός γίγαντας ανακοίνωσε πρόσφατα ένα λειτουργικό σύστημα Lockdown Mode που θα πρέπει να παρέχει πρόσθετη προστασία στους χρήστες iOS, iPadOS και macOS έναντι μισθοφόρου spyware που χρηματοδοτείται από το κράτος.
Νέο κακόβουλο λογισμικό macOS συνεχίζει να εμφανίζεται. Οκτώ νέες οικογένειες κακόβουλου λογισμικού εμφανίστηκαν το 2021, συμπεριλαμβανομένων των ElectroRAT, SilverSparrow, XcodeSpy, ElectrumStealer, WildPressure, XLoader, ZuRu και CDDS (γνωστός και ως MacMa).