CloudMensis il nuovo malware che spia i Mac

I ricercatori di sicurezza di ESET hanno scoperto CloudMensis, una backdoor per macOS che spia gli utenti Mac e utilizza servizi di archiviazione cloud pubblici per comunicare con gli hacker.
L’intendo della nuova backdoor è quello di raccogliere informazioni dai Mac delle vittime attraverso l’esfiltrazione di documenti e sequenze di tasti, i messaggi mail e gli allegati, elenchi di file da archivi rimovibili e la cattura di schermate.

Come agisce CloudMensis

CloudMensis è una minaccia seria per gli utenti Mac, e la sua distribuzione suggerisce che venga utilizzato soprattutto per operazioni mirate. Secondo quanto rilevato da ESET Research, gli hacker che diffondono questo malware, lo usano su obiettivi specifici di loro interesse.
L’uso di vulnerabilità per aggirare le protezioni di macOS dimostra che i creatori del malware cercano di massimizzare il successo delle loro operazioni di spionaggio.
Durante la ricerca non sono state trovate vulnerabilità non note, quindi come sempre si consiglia di utilizzare un Mac aggiornato per evitare almeno gli aggiramenti della protezione di base.

“Non è ancora charo come CloudMensis venga distribuito e quali siano gli obiettivi, ma sono state impiegate molte risorse per renderlo un potente strumento di spionaggio e una minaccia per i potenziali obiettivi”, spiega il ricercatore ESET che ha analizzato CloudMensis.

Una volta ottenuta l’esecuzione del codice e i privilegi amministrativi, CloudMensis esegue un primo stadio del malware che recupera un secondo stadio più ricco di funzionalità da un servizio di cloud storage. Questo secondo stadio è un componente molto più grande, dotato di una serie di funzioni per raccogliere informazioni dal Mac compromesso.
L’intenzione degli aggressori è chiaramente quella di esfiltrare documenti, screenshot, allegati e-mail e altri dati sensibili. Complessivamente, sono disponibili 39 comandi.

CloudMensis utilizza il cloud storage sia per ricevere i comandi dai suoi operatori sia per esfiltrare i file. Supporta tre diversi provider: pCloud, Yandex Disk e Dropbox. La configurazione inclusa nel campione analizzato contiene token di autenticazione per pCloud e Yandex Disk.

I metadati dei servizi di cloud storage utilizzati rivelano dettagli interessanti sull’operazione, ad esempio che ha iniziato a trasmettere comandi ai bot a partire dal 4 febbraio 2022.

Apple ha recentemente riconosciuto la presenza di spyware che prendono di mira gli utenti dei suoi prodotti e sta presentando in anteprima la modalità Lockdown su iOS, iPadOS e macOS, che disabilita le funzioni spesso sfruttate per ottenere l’esecuzione di codice e distribuire malware.

Contro i visur c’è un’antivirus progettato appositamente per il Mac, qui trovi la versione free o acquistarlo sul sito del produttore.

Download MacKeeper Download MacKeeper

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.