Spyware macOS yang sebelumnya tidak dikenal telah muncul dalam kampanye yang sangat bertarget, yang mengekstrak dokumen, penekanan tombol, tangkapan layar, dan banyak lagi dari mesin Apple. Menariknya, ia secara eksklusif menggunakan layanan penyimpanan cloud publik untuk muatan perumahan dan untuk komunikasi command-and-control (C2) โ pilihan desain yang tidak biasa yang membuatnya sulit untuk dilacak dan dianalisis ancamannya.
Dijuluki CloudMensis oleh para peneliti di ESET yang menemukannya, pintu belakang dikembangkan di Objective-C. Analisis ESET terhadap malware yang dirilis minggu ini menunjukkan bahwa setelah kompromi awal, penyerang siber di belakang kampanye mendapatkan eksekusi kode dan eskalasi hak istimewa menggunakan kerentanan yang diketahui. Kemudian, mereka memasang komponen pemuat tahap pertama yang mengambil muatan spyware sebenarnya dari penyedia penyimpanan awan. Dalam sampel yang dianalisis perusahaan, pCloud digunakan untuk menyimpan dan mengirimkan tahap kedua, tetapi malware juga mendukung Dropbox dan Yandex sebagai repositori cloud.
Komponen mata-mata kemudian mulai mengumpulkan kumpulan data sensitif dari Mac yang disusupi, termasuk file, lampiran email, pesan, rekaman audio, dan penekanan tombol. Secara keseluruhan, para peneliti mengatakan itu mendukung 39 perintah berbeda, termasuk arahan untuk mengunduh malware tambahan.
Semua data yang tidak sah dienkripsi menggunakan kunci publik yang ditemukan di agen mata-mata; dan itu memerlukan kunci pribadi, yang dimiliki oleh operator CloudMensis, untuk dekripsinya, menurut ESET.
Spyware di Cloud
Aspek kampanye yang paling menonjol, selain fakta bahwa spyware Mac jarang ditemukan, adalah penggunaan eksklusif penyimpanan cloud, menurut analisis tersebut.
โPelaku CloudMensis membuat akun di penyedia penyimpanan cloud seperti Dropbox atau pCloud,โ Marc-Etienne M.Lรฉveillรฉ, peneliti malware senior di ESET, menjelaskan kepada Dark Reading. โSpyware CloudMensis berisi token otentikasi yang memungkinkan mereka mengunggah dan mengunduh file dari akun ini. Ketika operator ingin mengirim perintah ke salah satu botnya, mereka mengunggah file ke penyimpanan cloud. Agen mata-mata CloudMensis akan mengambil file itu, mendekripsinya, dan menjalankan perintah. Hasil dari perintah dienkripsi dan diunggah ke penyimpanan cloud untuk diunduh dan didekripsi oleh operator.โ
Teknik ini berarti bahwa tidak ada nama domain atau alamat IP dalam sampel malware, ia menambahkan: โTidak adanya indikator tersebut membuat sulit untuk melacak infrastruktur dan memblokir CloudMensis di tingkat jaringan.โ
Meskipun pendekatan yang terkenal, itu telah digunakan di dunia PC sebelumnya oleh kelompok-kelompok seperti Lahirnya (alias Cloud Atlas) dan APT37 (alias Reaper atau Grup 123). Namun, โSaya pikir ini adalah pertama kalinya kami melihatnya di malware Mac,โ catatan M.Lรฉveillรฉ.
Atribusi, Korban Tetap Misteri
Sejauh ini, semuanya, baik, mendung ketika datang ke sumber ancaman. Satu hal yang jelas adalah bahwa niat para pelaku adalah spionase dan pencurian kekayaan intelektual โ berpotensi menjadi petunjuk tentang jenis ancaman, karena mata-mata secara tradisional merupakan domain dari ancaman persisten tingkat lanjut (APT).
Namun, artefak yang dapat ditemukan ESET dari serangan tersebut tidak menunjukkan hubungan dengan operasi yang diketahui.
โKami tidak dapat mengaitkan kampanye ini dengan grup yang dikenal, baik dari kesamaan kode maupun infrastruktur,โ kata M.Lรฉveillรฉ.
Petunjuk lain: Kampanye ini juga ditargetkan secara ketat โ biasanya merupakan ciri dari aktor yang lebih canggih.
โMetadata dari akun penyimpanan cloud yang digunakan oleh CloudMensis mengungkapkan sampel yang kami analisis telah berjalan di 51 Mac antara 4 Februari dan 22 April,โ kata M.Lรฉveillรฉ. Sayangnya, โkami tidak memiliki informasi tentang geolokasi atau vertikal korban karena file dihapus dari penyimpanan cloud.โ
Namun, melawan aspek kampanye APT-ish, tingkat kecanggihan malware itu sendiri tidak begitu mengesankan, kata ESET.
"Kualitas umum dari kode dan kurangnya kebingungan menunjukkan penulis mungkin tidak terlalu akrab dengan pengembangan Mac dan tidak begitu maju," menurut laporan.
M.Lรฉveillรฉ mencirikan CloudMensis sebagai ancaman tingkat menengah, dan mencatat bahwa tidak seperti Spyware Pegasus yang tangguh dari NSO Group, CloudMensis tidak membuat eksploitasi zero-day ke dalam kodenya.
โKami tidak melihat CloudMensis menggunakan kerentanan yang dirahasiakan untuk melewati penghalang keamanan Apple,โ kata M.Lรฉveillรฉ. โNamun, kami menemukan bahwa CloudMensis menggunakan kerentanan yang diketahui (juga dikenal sebagai satu hari atau n-hari) di Mac yang tidak menjalankan versi terbaru macOS [untuk melewati mitigasi keamanan]. Kami tidak tahu bagaimana spyware CloudMensis diinstal pada Mac korban, jadi mungkin mereka menggunakan kerentanan yang dirahasiakan untuk tujuan itu, tetapi kami hanya bisa berspekulasi. Ini menempatkan CloudMensis di suatu tempat di tengah skala kecanggihan, lebih dari rata-rata, tetapi juga bukan yang paling canggih.โ
Cara Melindungi Bisnis Anda dari CloudMensis & Spyware
Untuk menghindari menjadi korban ancaman CloudMensis, penggunaan kerentanan untuk mengatasi mitigasi macOS berarti bahwa menjalankan Mac terbaru adalah garis pertahanan pertama untuk bisnis, menurut ESET. Meskipun vektor kompromi awal tidak diketahui dalam kasus ini, menerapkan semua dasar lainnya seperti kata sandi yang kuat dan pelatihan kesadaran phishing juga merupakan pertahanan yang baik.
Peneliti juga merekomendasikan untuk menyalakan Mode Lockdown baru Apple fitur.
โApple baru-baru ini mengakui keberadaan spyware yang menargetkan pengguna produknya dan sedang mempratinjau Mode Lockdown di iOS, iPadOS, dan macOS, yang menonaktifkan fitur yang sering dieksploitasi untuk mendapatkan eksekusi kode dan menyebarkan malware,โ menurut analisis tersebut. โMenonaktifkan titik masuk, dengan mengorbankan pengalaman pengguna yang kurang lancar, terdengar seperti cara yang masuk akal untuk mengurangi permukaan serangan.โ
Di atas segalanya, M.Lรฉveillรฉ memperingatkan bisnis agar tidak terbuai dengan rasa aman yang salah ketika datang ke Mac. Sementara malware yang menargetkan Mac secara tradisional kurang lazim dibandingkan ancaman Windows atau Linux, yang sekarang berubah.
โBisnis yang menggunakan Mac dalam armada mereka harus melindungi mereka dengan cara yang sama seperti mereka melindungi komputer yang menjalankan Windows atau sistem operasi lainnya,โ dia memperingatkan. โDengan penjualan Mac yang meningkat dari tahun ke tahun, penggunanya telah menjadi target yang menarik bagi para penjahat yang bermotivasi finansial. Kelompok ancaman yang disponsori negara juga memiliki sumber daya untuk beradaptasi dengan target mereka dan mengembangkan malware yang mereka butuhkan untuk memenuhi misi mereka, apa pun sistem operasinya.โ
