Un spyware macOS necunoscut anterior a apărut într-o campanie foarte țintită, care exfiltrează documente, apăsări de taste, capturi de ecran și multe altele de pe computerele Apple. Interesant este că folosește exclusiv servicii publice de stocare în cloud pentru încărcături utile și pentru comunicații de comandă și control (C2) - o alegere de design neobișnuită care face dificilă urmărirea și analiza amenințării.
Denumită CloudMensis de către cercetătorii de la ESET care l-au descoperit, ușa din spate a fost dezvoltată în Objective-C. Analiza ESET a malware-ului lansat în această săptămână arată că, după compromisul inițial, atacatorii cibernetici din spatele campaniei obțin execuția codului și escaladarea privilegiilor folosind vulnerabilități cunoscute. Apoi, instalează o componentă de încărcare de primă etapă care preia sarcina utilă de spyware reală de la un furnizor de stocare în cloud. În eșantionul analizat de firma, pCloud a fost folosit pentru a stoca și a livra a doua etapă, dar malware-ul acceptă și Dropbox și Yandex ca depozite cloud.
Componenta de spionaj începe apoi să colecteze o mulțime de date sensibile de pe Mac-ul compromis, inclusiv fișiere, atașamente de e-mail, mesaje, înregistrări audio și apăsări de taste. În total, cercetătorii au spus că acceptă 39 de comenzi diferite, inclusiv o directivă pentru descărcarea de programe malware suplimentare.
Toate datele obținute greșit sunt criptate folosind o cheie publică găsită în agentul de spionaj; și necesită o cheie privată, deținută de operatorii CloudMensis, pentru decriptarea sa, potrivit ESET.
Spyware în cloud
Cel mai notabil aspect al campaniei, în afară de faptul că spyware-ul Mac este o descoperire rară, este utilizarea exclusivă a stocării în cloud, potrivit analizei.
„CloudMensis creează conturi pe furnizorii de stocare în cloud, cum ar fi Dropbox sau pCloud”, explică pentru Dark Reading Marc-Etienne M.Léveillé, cercetător senior de malware la ESET. „Programul spion CloudMensis conține jetoane de autentificare care le permit să încarce și să descarce fișiere din aceste conturi. Când operatorii doresc să trimită o comandă unuia dintre roboții săi, ei încarcă un fișier în stocarea în cloud. Agentul de spionaj CloudMensis va prelua acel fișier, îl va decripta și va executa comanda. Rezultatul comenzii este criptat și încărcat în stocarea în cloud pentru ca operatorii să îl descarce și să decripteze.”
Această tehnică înseamnă că nu există nume de domeniu sau adresă IP în mostrele de malware, adaugă el: „Lipsa unui astfel de indicator face dificilă urmărirea infrastructurii și blocarea CloudMensis la nivel de rețea.”
Deși este o abordare notabilă, a mai fost folosit în lumea PC-urilor de către grupuri precum Inception (aka Cloud Atlas) și APT37 (alias Reaper sau Grupul 123). Cu toate acestea, „Cred că este prima dată când îl vedem în malware Mac”, notează M.Léveillé.
Atribuirea, Victimologia rămân un mister
Până acum, lucrurile sunt, ei bine, tulburi când vine vorba de proveniența amenințării. Un lucru care este clar este că intenția făptuitorilor este spionajul și furtul de proprietate intelectuală - potențial un indiciu cu privire la tipul de amenințare, deoarece spionajul este în mod tradițional domeniul amenințărilor persistente avansate (APT).
Cu toate acestea, artefactele pe care ESET le-a putut descoperi în urma atacurilor nu au arătat nicio legătură cu operațiunile cunoscute.
„Nu am putut atribui această campanie unui grup cunoscut, nici din cauza asemănării codului sau a infrastructurii”, spune M.Léveillé.
Un alt indiciu: campania este, de asemenea, bine vizată - de obicei, semnul distinctiv al actorilor mai sofisticați.
„Metadatele din conturile de stocare în cloud utilizate de CloudMensis au arătat că mostrele pe care le-am analizat au rulat pe 51 de Mac-uri între 4 februarie și 22 aprilie”, spune M.Léveillé. Din păcate, „nu avem informații despre geolocalizarea sau verticala victimelor, deoarece fișierele sunt șterse din stocarea în cloud”.
Cu toate acestea, contracarând aspectele APT-ish ale campaniei, nivelul de sofisticare al malware-ului în sine nu este atât de impresionant, a remarcat ESET.
„Calitatea generală a codului și lipsa de ofuscare arată că autorii ar putea să nu fie foarte familiarizați cu dezvoltarea Mac și să nu fie atât de avansati”, potrivit raportul.
M.Léveillé caracterizează CloudMensis drept o amenințare mediu-avansată și a remarcat că spre deosebire de Redutabilul program spion Pegasus al Grupului NSO, CloudMensis nu include exploatații zero-day în codul său.
„Nu am văzut că CloudMensis a folosit vulnerabilități nedezvăluite pentru a ocoli barierele de securitate ale Apple”, spune M.Léveillé. „Cu toate acestea, am descoperit că CloudMensis a folosit vulnerabilități cunoscute (cunoscute și ca de o zi sau n-zi) pe Mac-uri care nu rulează cea mai recentă versiune de macOS [pentru a ocoli atenuările de securitate]. Nu știm cum este instalat software-ul spion CloudMensis pe Mac-urile victimelor, așa că poate că acestea folosesc vulnerabilități nedezvăluite în acest scop, dar putem doar specula. Acest lucru plasează CloudMensis undeva la mijloc în scara rafinamentului, mai mult decât media, dar nici cel mai sofisticat.”
Cum să vă protejați afacerea de CloudMensis și spyware
Pentru a evita să deveniți o victimă a amenințării CloudMensis, utilizarea vulnerabilităților pentru a rezolva atenuările macOS înseamnă că rularea de Mac-uri actualizate este prima linie de apărare pentru companii, potrivit ESET. Deși vectorul de compromis inițial nu este cunoscut în acest caz, implementarea tuturor celorlalte elemente de bază, cum ar fi parolele puternice și formarea de conștientizare a phishing-ului este, de asemenea, o bună apărare.
Cercetătorii au recomandat și pornirea Noul mod de blocare al Apple caracteristică.
„Apple a recunoscut recent prezența programelor spion care vizează utilizatorii produselor sale și previzualizează Modul Lockdown pe iOS, iPadOS și macOS, care dezactivează funcțiile exploatate frecvent pentru a obține execuția codului și a implementa malware”, potrivit analizei. „Dezactivarea punctelor de intrare, în detrimentul unei experiențe de utilizator mai puțin fluide, sună ca o modalitate rezonabilă de a reduce suprafața de atac.”
Mai presus de toate, M.Léveillé avertizează companiile să nu fie amânate într-un fals sentiment de securitate atunci când vine vorba de Mac-uri. În timp ce programele malware care vizează Mac-urile au fost în mod tradițional mai puțin răspândite decât amenințările Windows sau Linux, asta se schimba acum.
„Afacerile care folosesc Mac-uri în flota lor ar trebui să le protejeze în același mod în care ar proteja computerele care rulează Windows sau orice alt sistem de operare”, avertizează el. „Odată cu creșterea vânzărilor de Mac an de an, utilizatorii lor au devenit o țintă interesantă pentru criminalii motivați financiar. Grupurile de amenințări sponsorizate de stat au, de asemenea, resursele necesare pentru a se adapta țintelor lor și a dezvolta malware-ul de care au nevoie pentru a-și îndeplini misiunile, indiferent de sistemul de operare.”
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
