| 20 июля 2022 г. — 6:37 PT
В настоящее время в дикой природе активно используется вредоносное программное обеспечение для Mac, предназначенное для кражи личных данных. Исследователи безопасности говорят, что шпионское ПО CloudMensis позволяет злоумышленнику загружать файлы, перехватывать нажатия клавиш, делать снимки экрана и многое другое.
Фирма по кибербезопасности ESET сообщает, что шпионское ПО используется с февраля и, по-видимому, нацелено на конкретных лиц…
сообщает Tom’s Guide.
В macOS обнаружена ранее неизвестная бэкдор, которая в настоящее время используется для слежки за пользователями скомпрометированных Mac.
Впервые обнаруженное исследователями из фирмы по кибербезопасности ESET, новое вредоносное ПО получило название CloudMensis. Возможности CloudMensis показывают, что его создатели разработали его для сбора информации с Mac жертв, и вредоносное ПО способно извлекать документы и нажатия клавиш, списки электронных писем и вложений, списки файлов со съемных носителей и снимки экрана, согласно ESET.
Хотя CloudMensis, безусловно, представляет угрозу для пользователей Mac, его невероятно ограниченное распространение предполагает, что он предназначен для использования в рамках целенаправленной операции. Основываясь на том, что наблюдают исследователи ESET на данный момент, киберпреступники, ответственные за это, развертывают вредоносное ПО для нацеливания на конкретных пользователей, представляющих для них интерес.
«Мы до сих пор не знаем, как CloudMensis изначально распространяется и кто является целями. Общее качество кода и отсутствие обфускации показывает, что авторы могут быть не очень знакомы с разработкой для Mac и не являются очень продвинутыми. Тем не менее, было вложено много ресурсов, чтобы сделать CloudMensis мощным инструментом шпионажа и угрозой для потенциальных целей».
Хотя вредоносное ПО часто «звонит домой», чтобы получать команды и загружать дополнительные компоненты, обычно это означает подключение к частному серверу, управляемому злоумышленником. CloudMensis необычен тем, что его можно запускать через облачные сервисы хранения данных.
Получив выполнение кода и административные привилегии на скомпрометированном Mac, оно запускает вредоносное ПО первой стадии, которое извлекает вторую стадию с дополнительными функциями из облачного хранилища, согласно ESET.
Вторая стадия — это гораздо более крупный компонент, содержащий множество функций для сбора информации с скомпрометированного Mac. В настоящее время доступно 39 команд, но вторая стадия CloudMensis предназначена для извлечения документов, снимков экрана, вложений электронной почты и другой информации от жертв.
CloudMensis использует облачные хранилища как для получения команд от операторов, так и для извлечения файлов. В настоящее время он поддерживает три различных провайдера: pCloud, Yandex Disk и Dropbox.
Неясно, как вредоносному ПО удается обходить защиту macOS, поскольку ESET утверждает, что оно не использует никаких неизвестных уязвимостей.
Взгляд 9to5Mac на CloudMensis
Тот факт, что шпионское ПО, по-видимому, используется целенаправленно, означает, что большинству владельцев Mac не о чем беспокоиться. Тем не менее, вызывает беспокойство то, что CloudMensis способен удаленно обходить меры безопасности в macOS, не используя уязвимость нулевого дня.
Всегда стоит соблюдать некоторые простые меры предосторожности в области кибербезопасности. В первую очередь, никогда не открывайте вложения, которые вы не ожидаете, даже если они кажутся от известного вам контакта, и загружайте программное обеспечение только из Mac App Store или с веб-сайтов доверенных разработчиков.