En hidtil ukendt macOS-spyware er dukket op i en meget målrettet kampagne, som eksfiltrerer dokumenter, tastetryk, skærmbilleder og mere fra Apple-maskiner. Interessant nok bruger den udelukkende offentlige cloud-lagringstjenester til boliger og til kommando-og-kontrol (C2) kommunikation - et usædvanligt designvalg, der gør det vanskeligt at spore og analysere truslen.
Døbt CloudMensis af forskerne ved ESET, der opdagede det, bagdøren blev udviklet i Objective-C. ESET's analyse af den malware, der blev frigivet i denne uge, viser, at efter indledende kompromittering opnår cyberangriberne bag kampagnen kodeudførelse og privilegieeskalering ved hjælp af kendte sårbarheder. Derefter installerer de en første-trins-loader-komponent, der henter den faktiske spyware-nyttelast fra en cloud storage-udbyder. I prøven, som firmaet analyserede, blev pCloud brugt til at opbevare og levere anden fase, men malwaren understøtter også Dropbox og Yandex som skydepoter.
Spionkomponenten går derefter i gang med at høste en række følsomme data fra den kompromitterede Mac, inklusive filer, vedhæftede filer i e-mails, beskeder, lydoptagelser og tastetryk. I alt sagde forskere, at den understøtter 39 forskellige kommandoer, inklusive et direktiv om at downloade yderligere malware.
Alle de dårligt opnåede data er krypteret ved hjælp af en offentlig nøgle fundet i spionagenten; og det kræver en privat nøgle, ejet af CloudMensis-operatørerne, til dens dekryptering, ifølge ESET.
Spyware i skyen
Det mest bemærkelsesværdige aspekt af kampagnen, bortset fra det faktum, at Mac-spyware er et sjældent fund, er dens eksklusive brug af cloud storage, ifølge analysen.
"CloudMensis-gerningsmænd opretter konti hos cloud-storage-udbydere som Dropbox eller pCloud," forklarer Marc-Etienne M.Léveillé, senior malware-forsker hos ESET, til Dark Reading. "CloudMensis-spywaren indeholder autentificeringstokens, der giver dem mulighed for at uploade og downloade filer fra disse konti. Når operatørerne vil sende en kommando til en af dens bots, uploader de en fil til skylageret. CloudMensis spionagent vil hente den fil, dekryptere den og køre kommandoen. Resultatet af kommandoen krypteres og uploades til skylageret, så operatørerne kan downloade og dekryptere."
Denne teknik betyder, at der ikke er noget domænenavn eller IP-adresse i malware-eksemplerne, tilføjer han: "Fraværet af en sådan indikator gør det vanskeligt at spore infrastruktur og blokere CloudMensis på netværksniveau."
Selvom det er en bemærkelsesværdig tilgang, er det før blevet brugt i pc-verdenen af grupper som f.eks Inception (aka Cloud Atlas) og APT37 (aka Reaper eller Group 123). Men "Jeg tror, det er første gang, vi har set det i Mac malware," bemærker M.Léveillé.
Attribution, Victimology Remain a Mystery
Indtil videre er tingene uklare, når det kommer til truslens herkomst. En ting, der står klart, er, at gerningsmændenes hensigt er spionage og tyveri af intellektuel ejendom - potentielt et fingerpeg om typen af trussel, da spionage traditionelt er domænet for avancerede vedvarende trusler (APT'er).
De artefakter, ESET var i stand til at afdække fra angrebene, viste ingen bånd til kendte operationer.
"Vi kunne ikke tilskrive denne kampagne til en kendt gruppe, hverken fra kodeligheden eller infrastrukturen," siger M.Léveillé.
Et andet fingerpeg: Kampagnen er også stramt målrettet - normalt kendetegnende for mere sofistikerede skuespillere.
"Metadata fra cloud-lagringskonti brugt af CloudMensis afslørede, at de prøver, vi analyserede, har kørt på 51 Macs mellem 4. februar og 22. april," siger M.Léveillé. Desværre, "vi har ingen oplysninger om ofrenes geografiske placering eller vertikale, fordi filer er slettet fra skylageret."
I modsætning til de APT-agtige aspekter af kampagnen er selve malwarens sofistikerede niveau dog ikke så imponerende, bemærkede ESET.
"Den generelle kvalitet af koden og manglen på sløring viser, at forfatterne måske ikke er særligt fortrolige med Mac-udvikling og ikke er så avancerede," ifølge rapporten.
M.Léveillé karakteriserer CloudMensis som en medium-avanceret trussel og bemærkede, at i modsætning til NSO Groups formidable Pegasus spyware, CloudMensis indbygger ingen zero-day exploits i sin kode.
"Vi så ikke CloudMensis bruge skjulte sårbarheder til at omgå Apples sikkerhedsbarrierer," siger M.Léveillé. "Vi fandt dog ud af, at CloudMensis brugte kendte sårbarheder (også kendt som en-dag eller n-dag) på Mac'er, der ikke kører den nyeste version af macOS [for at omgå sikkerhedsbegrænsninger]. Vi ved ikke, hvordan CloudMensis-spywaren er installeret på ofrenes Mac'er, så måske bruger de ikke-oplyste sårbarheder til det formål, men vi kan kun spekulere. Dette placerer CloudMensis et sted i midten i skalaen af sofistikeret, mere end gennemsnittet, men heller ikke det mest sofistikerede."
Sådan beskytter du din virksomhed mod CloudMensis og spyware
For at undgå at blive et offer for CloudMensis-truslen betyder brugen af sårbarheder til at omgå macOS-reduktioner, at kørsel af opdaterede Macs er den første forsvarslinje for virksomheder, ifølge ESET. Selvom den indledende kompromisvektoren ikke er kendt i dette tilfælde, er implementering af resten af det grundlæggende som stærke adgangskoder og træning i phishing-bevidsthed også et godt forsvar.
Forskere anbefalede også at tænde Apples nye Lockdown Mode funktion.
"Apple har for nylig erkendt tilstedeværelsen af spyware, der er rettet mod brugere af dets produkter og er ved at se en forhåndsvisning af Lockdown Mode på iOS, iPadOS og macOS, som deaktiverer funktioner, der ofte udnyttes til at få kodeudførelse og implementere malware," ifølge analysen. "At deaktivere indgangspunkter på bekostning af en mindre flydende brugeroplevelse lyder som en rimelig måde at reducere angrebsoverfladen på."
Frem for alt advarer M.Léveillé virksomheder mod at blive lullet ind i en falsk følelse af sikkerhed, når det kommer til Macs. Selvom malware rettet mod Mac'er traditionelt har været mindre udbredt end Windows- eller Linux-trusler, det ændrer sig nu.
"Virksomheder, der bruger Mac'er i deres flåde, bør beskytte dem på samme måde, som de ville beskytte computere, der kører Windows eller andre operativsystemer," advarer han. “Med Mac-salget stigende år efter år, er deres brugere blevet et interessant mål for økonomisk motiverede kriminelle. Statssponserede trusselsgrupper har også ressourcerne til at tilpasse sig deres mål og udvikle den malware, de har brug for til at udføre deres missioner, uanset operativsystemet."
