Исследователи из компании по безопасности ESET обнаружили новый вид вредоносного ПО, известного как CloudMensis. Это использует системы macOS для слежки за пользователями и кражи их личных данных, включая документы, вложения электронной почты и нажатия клавиш. Вредоносное ПО также может использоваться для захвата скриншотов на устройстве жертвы.
CloudMensis использует бэкдоры на устройствах macOS для кражи данных
Обнаружено вредоносное ПО CloudMensis, использующее общедоступные поставщики облачных хранилищ, такие как DropBox, pCloud и Яндекс Диск для проникновения в определенную систему macOS и кражи пользовательских данных. В сообщение о CloudMensis, ESET описала его как «ранее неизвестный бэкдор macOS».
Поскольку CloudMensis может обойти Apple MacOS Transparency Consent and Control (TCC), у него есть возможность просматривать действия пользователя на своем устройстве macOS в режиме реального времени и извлекать данные из облачного хранилища программы. Длинный список команд наблюдения CloudMensis также позволяет ему выполнять ряд действий на устройстве данной жертвы без их разрешения или ведома.
Эта возможность обойти Apple macOS TCC предполагает, что CloudMensis ни в коем случае не является основным типом вредоносного ПО. Скорее, его уровень сложности весьма беспокоит.
CloudMensis может ориентироваться на дорогостоящие устройства
Хотя CloudMensis был официально обнаружен в апреле 2022 года, первая зарегистрированная атака произошла за два месяца до этого, 4 февраля. С тех пор по апрель только 51 пользователь стал жертвой этой вредоносной программы.
Хотя может показаться утешительным, что вредоносное ПО CloudMensis затронуло такое небольшое количество жертв, это говорит о том, что операторы нацелены на конкретных пользователей для атаки. Таким образом, вместо того, чтобы распространять вредоносное ПО на любой компьютер, который его примет, эти злоумышленники, скорее всего, будут атаковать людей, у которых может быть что-то ценное для кражи.
Операторы CloudMensis кажутся незнакомыми с macOS
Хотя CloudMensis, очевидно, является одним из наиболее сложных штаммы вредоносных программ, кажется, что его операторы плохо разбираются в системах macOS. Мы знаем это, поскольку их опыт программирования на Objective-C (язык, используемый для устройств с поддержкой OS X и iOS) кажется довольно простым. Но это не означает, что CloudMensis по-прежнему не представляет опасности для пользователей macOS.
CloudMensis продолжает представлять угрозу
Хотя ESET сообщила, что на момент написания статьи не было зафиксировано никаких эксплойтов нулевого дня с использованием CloudMensis, это вредоносное ПО по-прежнему представляет серьезную угрозу для пользователей macOS.
ESET все еще работает над тем, чтобы определить, как эта вредоносная программа изначально распространяется и почему определенные пользователи становятся ее мишенями, а это означает, что в будущем могут произойти новые атаки. Пользователям рекомендуется постоянно обновлять программное обеспечение macOS, чтобы максимально повысить уровень безопасности своих устройств.