Un logiciel espion macOS jusqu'alors inconnu a fait surface dans le cadre d'une campagne très ciblée, qui exfiltre des documents, des frappes au clavier, des captures d'écran et bien plus encore des machines Apple. Il est intéressant de noter qu’il utilise exclusivement des services de stockage dans le cloud public pour héberger les charges utiles et pour les communications de commande et de contrôle (C2) – un choix de conception inhabituel qui rend difficile le traçage et l’analyse de la menace.
Baptisée CloudMensis par les chercheurs d'ESET qui l'ont découverte, la porte dérobée a été développée en Objective-C. L'analyse d'ESET du malware publiée cette semaine montre qu'après une compromission initiale, les cyberattaquants à l'origine de la campagne obtiennent l'exécution de code et une élévation de privilèges en utilisant des vulnérabilités connues. Ensuite, ils installent un composant de chargement de première étape qui récupère la charge utile réelle du logiciel espion auprès d'un fournisseur de stockage cloud. Dans l’échantillon analysé par l’entreprise, pCloud a été utilisé pour stocker et livrer la deuxième étape, mais le malware prend également en charge Dropbox et Yandex comme référentiels cloud.
Le composant espion se met ensuite à récolter une multitude de données sensibles sur le Mac compromis, notamment des fichiers, des pièces jointes aux e-mails, des messages, des enregistrements audio et des frappes au clavier. Au total, les chercheurs ont déclaré qu'il prend en charge 39 commandes différentes, y compris une directive permettant de télécharger des logiciels malveillants supplémentaires.
Toutes les données mal acquises sont cryptées à l'aide d'une clé publique trouvée dans l'agent espion ; et il nécessite une clé privée, propriété des opérateurs CloudMensis, pour son déchiffrement, selon ESET.
Logiciels espions dans le cloud
L'aspect le plus remarquable de la campagne, outre le fait que les logiciels espions Mac sont une trouvaille rare, est son utilisation exclusive du stockage dans le cloud, selon l'analyse.
"Les auteurs de CloudMensis créent des comptes sur des fournisseurs de stockage cloud tels que Dropbox ou pCloud", explique Marc-Etienne M.Léveillé, chercheur senior en malwares chez ESET, à Dark Reading. « Le logiciel espion CloudMensis contient des jetons d'authentification qui leur permettent de télécharger et de télécharger des fichiers à partir de ces comptes. Lorsque les opérateurs souhaitent envoyer une commande à l'un de ses robots, ils téléchargent un fichier sur le stockage cloud. L'agent espion CloudMensis récupérera ce fichier, le décryptera et exécutera la commande. Le résultat de la commande est crypté et téléchargé sur le stockage cloud pour que les opérateurs puissent le télécharger et le déchiffrer.
Cette technique signifie qu’il n’y a ni nom de domaine ni adresse IP dans les échantillons de malware, ajoute-t-il : « L’absence d’un tel indicateur rend difficile le suivi de l’infrastructure et le blocage de CloudMensis au niveau du réseau. »
Bien qu'il s'agisse d'une approche remarquable, elle a déjà été utilisée dans le monde du PC par des groupes comme Début (alias Cloud Atlas) et APT37 (alias Reaper ou Groupe 123). Cependant, « je pense que c'est la première fois qu'on le voit dans un malware Mac », note M. Léveillé.
L'attribution et la victimologie restent un mystère
Jusqu’à présent, les choses sont floues en ce qui concerne l’origine de la menace. Une chose est claire : l'intention des auteurs est l'espionnage et le vol de propriété intellectuelle – ce qui peut être un indice quant au type de menace, puisque l'espionnage est traditionnellement le domaine des menaces persistantes avancées (APT).
Cependant, les artefacts qu’ESET a pu découvrir lors des attaques n’ont montré aucun lien avec des opérations connues.
«Nous ne pouvions attribuer cette campagne à un groupe connu, ni de par la similarité des codes ni par l'infrastructure», précise M. Léveillé.
Autre indice : la campagne est également très ciblée – ce qui est généralement la marque d’acteurs plus sophistiqués.
« Les métadonnées des comptes de stockage cloud utilisés par CloudMensis ont révélé que les échantillons que nous avons analysés ont fonctionné sur 51 Mac entre le 4 février et le 22 avril », explique M. Léveillé. Malheureusement, « nous n’avons aucune information sur la géolocalisation ou la verticale des victimes car les fichiers sont supprimés du stockage cloud ».
Cependant, contrairement aux aspects APT de la campagne, le niveau de sophistication du malware lui-même n'est pas si impressionnant, a noté ESET.
"La qualité générale du code et l'absence d'obscurcissement montrent que les auteurs ne sont peut-être pas très familiers avec le développement Mac et ne sont pas si avancés", selon le rapport.
M.Léveillé caractérise CloudMensis comme une menace moyennement avancée et note que contrairement à Le redoutable logiciel espion Pegasus de NSO Group, CloudMensis n'intègre aucun exploit zero-day dans son code.
« Nous n'avons pas vu CloudMensis utiliser des vulnérabilités non divulguées pour contourner les barrières de sécurité d'Apple », précise M. Léveillé. «Cependant, nous avons constaté que CloudMensis utilisait des vulnérabilités connues (également appelées un jour ou n-jour) sur des Mac qui n'exécutent pas la dernière version de macOS [pour contourner les mesures d'atténuation de sécurité]. Nous ne savons pas comment le logiciel espion CloudMensis est installé sur les Mac des victimes, alors peut-être qu'elles utilisent des vulnérabilités non divulguées à cette fin, mais nous ne pouvons que spéculer. Cela place CloudMensis quelque part au milieu sur l’échelle de sophistication, plus que la moyenne, mais pas non plus le plus sophistiqué.
Comment protéger votre entreprise contre CloudMensis et les logiciels espions
Pour éviter d'être victime de la menace CloudMensis, l'utilisation de vulnérabilités pour contourner les atténuations de macOS signifie que l'exécution de Mac à jour constitue la première ligne de défense pour les entreprises, selon ESET. Bien que le vecteur de compromission initiale ne soit pas connu dans ce cas, la mise en œuvre de tous les autres principes de base, comme des mots de passe forts et une formation de sensibilisation au phishing, constitue également une bonne défense.
Les chercheurs ont également recommandé d'activer Le nouveau mode de verrouillage d'Apple fonction.
"Apple a récemment reconnu la présence de logiciels espions ciblant les utilisateurs de ses produits et présente un aperçu du mode de verrouillage sur iOS, iPadOS et macOS, qui désactive les fonctionnalités fréquemment exploitées pour exécuter du code et déployer des logiciels malveillants", selon l'analyse. "Désactiver les points d'entrée, au détriment d'une expérience utilisateur moins fluide, semble être un moyen raisonnable de réduire la surface d'attaque."
Surtout, M. Léveillé met en garde les entreprises contre le fait de se laisser bercer par un faux sentiment de sécurité lorsqu'il s'agit de Mac. Même si les logiciels malveillants ciblant les Mac sont traditionnellement moins répandus que les menaces Windows ou Linux, ça change maintenant.
« Les entreprises qui utilisent des Mac dans leur parc devraient les protéger de la même manière qu'elles protégeraient les ordinateurs exécutant Windows ou tout autre système d'exploitation », prévient-il. « Avec l'augmentation des ventes de Mac d'année en année, leurs utilisateurs sont devenus une cible intéressante pour les criminels motivés par l'argent. Les groupes de menace parrainés par l’État disposent également des ressources nécessaires pour s’adapter à leurs cibles et développer les logiciels malveillants dont ils ont besoin pour remplir leurs missions, quel que soit le système d’exploitation.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
