Άγνωστοι απειλητικοί παράγοντες χρησιμοποιούν το malware CloudMensis – δεν είχε εντοπιστεί στο παρελθόν – για να παρακάμψουν συσκευές macOS και να κάνουν exfiltrate πληροφορίες σε μια εξαιρετικά στοχευμένη σειρά επιθέσεων.
Δείτε επίσης: Η malware εκστρατεία Roaming Mantis στοχεύει Android και iOS χρήστες στη Γαλλία
Οι ερευνητές της ESET εντόπισαν για πρώτη φορά το νέο malware τον Απρίλιο του 2022 και το ονόμασαν CloudMensis επειδή χρησιμοποιεί υπηρεσίες δημόσιας αποθήκευσης cloud pCloud, Yandex Disk και Dropbox για επικοινωνία command-and-control (C2).
Οι δυνατότητες του CloudMensis δείχνουν ξεκάθαρα ότι ο κύριος στόχος των χειριστών του είναι να συλλέγουν ευαίσθητες πληροφορίες από μολυσμένους Mac με διάφορα μέσα.
Αυτές περιλαμβάνουν screenshots, exfiltration εγγράφων και keystrokes, καθώς και μηνύματα listing email, συνημμένων και αρχείων που είναι αποθηκευμένα από αφαιρούμενο χώρο αποθήκευσης.
Το malware έρχεται με υποστήριξη για δεκάδες εντολές, επιτρέποντας στους χειριστές του να εκτελούν μια μακρά λίστα ενεργειών σε μολυσμένους Mac.
Με βάση την ανάλυση της ESET, οι επιτιθέμενοι μόλυναν τον πρώτο Mac με το CloudMensis στις 4 Φεβρουαρίου 2022. Έκτοτε, χρησιμοποιούσαν μόνο σποραδικά το backdoor για να στοχεύσουν και να υπονομεύσουν άλλους Mac, υπονοώντας τον εξαιρετικά στοχευμένο χαρακτήρα της καμπάνιας.
Ο φορέας μόλυνσης είναι άγνωστος και οι ικανότητες κωδικοποίησης Objective-C των εισβολέων δείχνουν ότι δεν είναι εξοικειωμένοι με την πλατφόρμα macOS.
Δείτε επίσης: FBI: Απατεώνες εξαπατούν επενδυτές με ψεύτικες εφαρμογές crypto
Παράκαμψη προστασίας απορρήτου
Αφού αναπτυχθεί σε Mac, το CloudMensis μπορεί να παρακάμψει και το σύστημα macOS Transparency Consent and Control (TCC), το οποίο προτρέπει τον χρήστη να εκχωρήσει στις εφαρμογές άδεια λήψης screen captures ή παρακολούθησης keyboard events.
Το TCC έχει σχεδιαστεί για να εμποδίζει τις εφαρμογές macOS να έχουν πρόσβαση σε ευαίσθητα δεδομένα χρήστη, επιτρέποντας στους χρήστες macOS να διαμορφώνουν τις ρυθμίσεις απορρήτου για εφαρμογές που είναι εγκατεστημένες στα συστήματα και τις συσκευές τους που είναι συνδεδεμένες στους Mac τους, συμπεριλαμβανομένων των μικροφώνων και των καμερών.
Οι κανόνες που δημιουργούνται από κάθε χρήστη αποθηκεύονται σε μια βάση δεδομένων στο Mac που προστατεύεται από το System Integrity Protection (SIP), το οποίο διασφαλίζει ότι μόνο το TCC daemon μπορεί να τον τροποποιήσει.
Εάν ο χρήστης απενεργοποιήσει το SIP στο σύστημα, το CloudMensis θα εκχωρήσει στον εαυτό του δικαιώματα προσθέτοντας νέους κανόνες στο αρχείο TCC.db.
Ωστόσο, “αν το SIP είναι ενεργοποιημένο αλλά το Mac εκτελεί οποιαδήποτε έκδοση του macOS Catalina πριν από την 10.15.6, το CloudMensis θα εκμεταλλευτεί μια ευπάθεια για να κάνει το TCC daemon να φορτώσει μια βάση δεδομένων στην οποία το CloudMensis μπορεί να γράψει.”
Δείτε επίσης: Εργαλείο ανάκτησης password μολύνει βιομηχανικά συστήματα με Sality malware
Η ευπάθεια που χρησιμοποιεί, σε αυτήν την περίπτωση, είναι ένα σφάλμα CoreFoundation που παρακολουθείται ως CVE-2020–9934 και διορθώθηκε από την Apple πριν από δύο χρόνια.
Ενώ η ESET έχει δει μόνο αυτό το malware να χρησιμοποιεί αυτό το ελάττωμα, οι εισβολείς δεν έχουν έλλειψη τρόπων για να παρακάμψουν το TCC, καθώς η Apple έχει αντιμετωπίσει πρόσφατα σφάλματα που οδηγούν σε παρόμοιο αντίκτυπο.
Πηγή πληροφοριών: bleepingcomputer.com
