По словам специалистов, вредонос использует уязвимости Safari, обнаруженные и исправленные в 2017 году.
Специалисты из ESET обнаружили новую вредоносную программу, получившую название CloudMensis. Вредонос написан на языке Objective-C и представляет из себя шпионское ПО и бэкдор в одном флаконе, направленные на устройства с чипами Intel и Apple .
Экспертам пока неясно как распространяется шпионское ПО. Однако известно, что с февраля оно было частью небольшого количества целевых атак. Кроме этого, CloudMensis использует некоторые уязвимости Safari, обнаруженные и исправленные в 2017 году, поэтому специалисты считают, что вредонос может существовать уже несколько лет. Еще у шпионского ПО была найдена интересная особенность – оно не использует 0-day уязвимости.
CloudMensis развертывается в два этапа после того, как хакер получает привилегии администратора и возможность выполнять произвольный код. Компонент первого этапа загружает и выполняет основную полезную нагрузку в качестве общесистемного демона.
После развертывания на Mac, вредоносная программа собирает документы, скриншоты и вложения электронной почты. Кроме этого, CloudMensis обходит систему TCC (Transparency, Consent and Control), которая уведомляет пользователя о том, что приложение пытается получить доступ к определенным функциям, после чего получает возможности кейлоггинга, создания скриншотов экрана жертвы и сканирования хранилища на предмет нужных документов. Вредонос также принимает 39 команд, которые используются для выполнения shell-команд, а также загрузки и выполнения произвольных файлов.
Операторы крадут данные и контролируют шпионское ПО с помощью облачных сервисов, таких как pCloud, Yandex Disk и Dropbox.
По словам исследователей, общее качество кода и его простота говорят о том, что разработчики CloudMensis не очень опытны в разработке вредоносного ПО для Mac. Тем не менее, CloudMensis остается мощным инструментом, который может использоваться для шпионажа и кражи данных.
Напомним, в бета-версии iOS 16 Apple уже выпустила новый режим, защищающий пользователя от шпионского ПО. Lockdown mode блокирует некоторые функции, чтобы защитить пользователей с высоким уровнем риска от «целенаправленных кибератак».
Наш канал — питательная среда для вашего интеллекта