Uno spyware macOS precedentemente sconosciuto è emerso in una campagna altamente mirata, che esfiltra documenti, sequenze di tasti, acquisizioni di schermate e altro ancora dai computer Apple. È interessante notare che utilizza esclusivamente servizi di archiviazione su cloud pubblici per i carichi utili delle abitazioni e per le comunicazioni di comando e controllo (C2), una scelta di progettazione insolita che rende difficile tracciare e analizzare la minaccia.
Soprannominata CloudMensis dai ricercatori di ESET che l'hanno scoperta, la backdoor è stata sviluppata in Objective-C. L'analisi di ESET del malware rilasciato questa settimana mostra che dopo la compromissione iniziale, gli aggressori informatici dietro la campagna ottengono l'esecuzione di codice e l'escalation dei privilegi utilizzando vulnerabilità note. Quindi, installano un componente del caricatore di prima fase che recupera il payload effettivo dello spyware da un provider di archiviazione cloud. Nel campione analizzato dall'azienda, pCloud è stato utilizzato per archiviare e distribuire la seconda fase, ma il malware supporta anche Dropbox e Yandex come repository cloud.
Il componente spia inizia quindi a raccogliere una serie di dati sensibili dal Mac compromesso, inclusi file, allegati e-mail, messaggi, registrazioni audio e sequenze di tasti. In tutto, i ricercatori hanno affermato che supporta 39 comandi diversi, inclusa una direttiva per scaricare malware aggiuntivo.
Tutti i dati illeciti vengono crittografati utilizzando una chiave pubblica trovata nell'agente spia; e richiede una chiave privata, di proprietà degli operatori CloudMensis, per la sua decrittazione, secondo ESET.
Spyware nel cloud
L'aspetto più notevole della campagna, oltre al fatto che lo spyware per Mac è una scoperta rara, è il suo uso esclusivo del cloud storage, secondo l'analisi.
"Gli autori di CloudMensis creano account su provider di archiviazione cloud come Dropbox o pCloud", spiega a Dark Reading Marc-Etienne M.Léveillé, ricercatore di malware senior presso ESET. “Lo spyware CloudMensis contiene token di autenticazione che consentono loro di caricare e scaricare file da questi account. Quando gli operatori vogliono inviare un comando a uno dei suoi bot, caricano un file nel cloud storage. L'agente spia di CloudMensis recupererà quel file, lo decrittograferà ed eseguirà il comando. Il risultato del comando viene crittografato e caricato nell'archivio cloud per consentire agli operatori di scaricarlo e decrittografarlo".
Questa tecnica significa che non ci sono nomi di dominio né indirizzi IP nei campioni di malware, aggiunge: "L'assenza di tale indicatore rende difficile tracciare l'infrastruttura e bloccare CloudMensis a livello di rete".
Sebbene sia un approccio notevole, è stato utilizzato prima nel mondo dei PC da gruppi come Inizio (aka Cloud Atlas) e APT37 (aka Mietitore o Gruppo 123). Tuttavia, "Penso che sia la prima volta che lo vediamo nel malware per Mac", osserva M.Léveillé.
L'attribuzione, la vittimologia rimangono un mistero
Finora, le cose sono, beh, poco chiare quando si tratta della provenienza della minaccia. Una cosa che è chiara è che l'intenzione degli autori è lo spionaggio e il furto di proprietà intellettuale, potenzialmente un indizio sul tipo di minaccia, poiché lo spionaggio è tradizionalmente il dominio delle minacce persistenti avanzate (APT).
Tuttavia, gli artefatti che ESET è riuscita a scoprire dagli attacchi non hanno mostrato alcun legame con operazioni note.
"Non potevamo attribuire questa campagna a un gruppo noto, né per la somiglianza del codice né per l'infrastruttura", afferma M.Léveillé.
Un altro indizio: anche la campagna è strettamente mirata, di solito il segno distintivo di attori più sofisticati.
"I metadati degli account di archiviazione cloud utilizzati da CloudMensis hanno rivelato che i campioni che abbiamo analizzato sono stati eseguiti su 51 Mac tra il 4 febbraio e il 22 aprile", afferma M.Léveillé. Sfortunatamente, "non abbiamo informazioni sulla geolocalizzazione o sulla verticale delle vittime perché i file vengono eliminati dal cloud storage".
Tuttavia, contrastando gli aspetti APT della campagna, il livello di sofisticazione del malware stesso non è così impressionante, ha osservato ESET.
"La qualità generale del codice e la mancanza di offuscamento mostrano che gli autori potrebbero non avere molta familiarità con lo sviluppo Mac e non sono così avanzati", secondo la relazione.
M.Léveillé caratterizza CloudMensis come una minaccia medio-avanzata e ha notato che diversamente Il formidabile spyware Pegasus di NSO Group, CloudMensis non inserisce exploit zero-day nel suo codice.
"Non abbiamo visto CloudMensis utilizzare vulnerabilità nascoste per aggirare le barriere di sicurezza di Apple", afferma M.Léveillé. “Tuttavia, abbiamo scoperto che CloudMensis utilizzava vulnerabilità note (note anche come one-day o n-day) su Mac che non eseguono l'ultima versione di macOS [per aggirare le mitigazioni della sicurezza]. Non sappiamo come lo spyware CloudMensis sia installato sui Mac delle vittime, quindi forse utilizzano vulnerabilità non divulgate a tale scopo, ma possiamo solo ipotizzare. Questo colloca CloudMensis da qualche parte nel mezzo nella scala della sofisticatezza, più della media, ma nemmeno la più sofisticata".
Come proteggere la tua azienda da CloudMensis e Spyware
Per evitare di diventare una vittima della minaccia CloudMensis, l'uso delle vulnerabilità per aggirare le mitigazioni di macOS significa che l'esecuzione di Mac aggiornati è la prima linea di difesa per le aziende, secondo ESET. Sebbene il vettore di compromesso iniziale non sia noto in questo caso, anche l'implementazione di tutte le altre nozioni di base come password complesse e formazione per la consapevolezza del phishing è una buona difesa.
I ricercatori hanno anche consigliato di accendere La nuova modalità di blocco di Apple caratteristica.
"Apple ha recentemente riconosciuto la presenza di spyware che prendono di mira gli utenti dei suoi prodotti e sta visualizzando in anteprima la modalità di blocco su iOS, iPadOS e macOS, che disabilita le funzionalità spesso sfruttate per ottenere l'esecuzione di codice e distribuire malware", secondo l'analisi. "Disabilitare i punti di ingresso, a scapito di un'esperienza utente meno fluida, sembra un modo ragionevole per ridurre la superficie di attacco."
Soprattutto, M.Léveillé mette in guardia le aziende dal lasciarsi cullare da un falso senso di sicurezza quando si tratta di Mac. Sebbene il malware mirato ai Mac sia stato tradizionalmente meno diffuso rispetto alle minacce Windows o Linux, che ora sta cambiando.
"Le aziende che utilizzano i Mac nella loro flotta dovrebbero proteggerli nello stesso modo in cui proteggerebbero i computer che eseguono Windows o qualsiasi altro sistema operativo", avverte. “Con l'aumento delle vendite di Mac anno dopo anno, i loro utenti sono diventati un obiettivo interessante per i criminali con motivazioni finanziarie. I gruppi di minacce sponsorizzati dallo stato hanno anche le risorse per adattarsi ai loro obiettivi e sviluppare il malware di cui hanno bisogno per svolgere le loro missioni, indipendentemente dal sistema operativo".
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
