Um spyware macOS até então desconhecido surgiu em uma campanha altamente direcionada, que exfiltra documentos, pressionamentos de teclas, capturas de tela e muito mais de máquinas Apple. Curiosamente, ele usa exclusivamente serviços de armazenamento em nuvem pública para abrigar cargas úteis e para comunicações de comando e controle (C2) – uma escolha de design incomum que torna difícil rastrear e analisar a ameaça.
Apelidado de CloudMensis pelos pesquisadores da ESET que o descobriram, o backdoor foi desenvolvido em Objective-C. A análise da ESET ao malware lançado esta semana mostra que, após o comprometimento inicial, os ciberataques por trás da campanha obtêm execução de código e escalonamento de privilégios usando vulnerabilidades conhecidas. Em seguida, eles instalam um componente de carregamento de primeiro estágio que recupera a carga útil real do spyware de um provedor de armazenamento em nuvem. Na amostra analisada pela empresa, o pCloud foi usado para armazenar e entregar o segundo estágio, mas o malware também suporta Dropbox e Yandex como repositórios em nuvem.
O componente espião então coleta um conjunto de dados confidenciais do Mac comprometido, incluindo arquivos, anexos de e-mail, mensagens, gravações de áudio e pressionamentos de teclas. Ao todo, os pesquisadores disseram que ele suporta 39 comandos diferentes, incluindo uma diretiva para baixar malware adicional.
Todos os dados ilícitos são criptografados usando uma chave pública encontrada no agente espião; e requer uma chave privada, de propriedade dos operadores CloudMensis, para sua descriptografia, segundo a ESET.
Spyware na nuvem
O aspecto mais notável da campanha, além do fato de o spyware para Mac ser um achado raro, é o uso exclusivo de armazenamento em nuvem, de acordo com a análise.
“Os perpetradores do CloudMensis criam contas em provedores de armazenamento em nuvem, como Dropbox ou pCloud”, explica Marc-Etienne M.Léveillé, pesquisador sênior de malware da ESET, à Dark Reading. “O spyware CloudMensis contém tokens de autenticação que permitem fazer upload e download de arquivos dessas contas. Quando os operadores desejam enviar um comando para um de seus bots, eles carregam um arquivo para o armazenamento em nuvem. O agente espião CloudMensis irá buscar esse arquivo, descriptografá-lo e executar o comando. O resultado do comando é criptografado e carregado no armazenamento em nuvem para que os operadores baixem e descriptografem.”
Esta técnica significa que não há nome de domínio nem endereço IP nas amostras de malware, acrescenta: “A ausência de tal indicador dificulta o rastreamento da infraestrutura e o bloqueio do CloudMensis no nível da rede”.
Embora seja uma abordagem notável, ela já foi usada no mundo dos PCs por grupos como Começo (também conhecido como Cloud Atlas) e APT37 (também conhecido como Reaper ou Grupo 123). No entanto, “acho que é a primeira vez que vemos isso em malware para Mac”, observa M.Léveillé.
Atribuição e vitimologia permanecem um mistério
Até agora, as coisas estão nebulosas no que diz respeito à origem da ameaça. Uma coisa que está clara é que a intenção dos perpetradores é a espionagem e o roubo de propriedade intelectual – potencialmente uma pista sobre o tipo de ameaça, uma vez que a espionagem é tradicionalmente o domínio das ameaças persistentes avançadas (APTs).
No entanto, os artefatos que a ESET conseguiu descobrir nos ataques não mostraram nenhuma ligação com operações conhecidas.
“Não poderíamos atribuir esta campanha a um grupo conhecido, nem pela semelhança do código ou pela infraestrutura”, diz M.Léveillé.
Outra pista: a campanha também é bem direcionada – geralmente a marca registrada de atores mais sofisticados.
“Os metadados das contas de armazenamento em nuvem usadas pelo CloudMensis revelaram que as amostras que analisamos foram executadas em 51 Macs entre 4 de fevereiro e 22 de abril”, diz M.Léveillé. Infelizmente, “não temos informações sobre a geolocalização ou vertical das vítimas porque os arquivos são excluídos do armazenamento em nuvem”.
No entanto, contrariando os aspectos APT da campanha, o nível de sofisticação do malware em si não é tão impressionante, observou a ESET.
“A qualidade geral do código e a falta de ofuscação mostram que os autores podem não estar muito familiarizados com o desenvolvimento para Mac e não são tão avançados”, segundo o relatório.
M.Léveillé caracteriza o CloudMensis como uma ameaça médio-avançada e observa que, diferentemente O formidável spyware Pegasus do Grupo NSO, o CloudMensis não incorpora explorações de dia zero em seu código.
“Não vimos o CloudMensis usar vulnerabilidades não reveladas para contornar as barreiras de segurança da Apple”, diz M.Léveillé. “No entanto, descobrimos que o CloudMensis usava vulnerabilidades conhecidas (também conhecidas como um dia ou n dias) em Macs que não executam a versão mais recente do macOS [para contornar as mitigações de segurança]. Não sabemos como o spyware CloudMensis é instalado nos Macs das vítimas, então talvez elas usem vulnerabilidades não reveladas para esse propósito, mas só podemos especular. Isso coloca o CloudMensis em algum lugar no meio da escala de sofisticação, acima da média, mas também não é o mais sofisticado.”
Como proteger sua empresa contra CloudMensis e spyware
Para evitar ser vítima da ameaça CloudMensis, o uso de vulnerabilidades para contornar as mitigações do macOS significa que executar Macs atualizados é a primeira linha de defesa para as empresas, de acordo com a ESET. Embora o vetor de comprometimento inicial não seja conhecido neste caso, implementar todo o restante dos princípios básicos, como senhas fortes e treinamento de conscientização sobre phishing, também é uma boa defesa.
Os pesquisadores também recomendaram ativar O novo modo de bloqueio da Apple recurso.
“A Apple reconheceu recentemente a presença de spyware direcionado aos usuários de seus produtos e está visualizando o modo Lockdown no iOS, iPadOS e macOS, que desativa recursos frequentemente explorados para obter execução de código e implantar malware”, de acordo com a análise. “Desativar pontos de entrada, em detrimento de uma experiência de usuário menos fluida, parece uma forma razoável de reduzir a superfície de ataque.”
Acima de tudo, M.Léveillé adverte as empresas contra serem enganadas por uma falsa sensação de segurança quando se trata de Macs. Embora o malware direcionado a Macs tenha sido tradicionalmente menos prevalente do que as ameaças do Windows ou do Linux, isso agora está mudando.
“As empresas que usam Macs em sua frota devem protegê-los da mesma forma que protegeriam computadores que executam Windows ou qualquer outro sistema operacional”, alerta. “Com as vendas de Mac aumentando ano após ano, seus usuários se tornaram um alvo interessante para criminosos com motivação financeira. Os grupos de ameaças patrocinados pelo Estado também têm os recursos para se adaptarem aos seus alvos e desenvolverem o malware necessário para cumprirem as suas missões, independentemente do sistema operativo.”
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
