Nový špionážní malware CloudMensis cílí na uživatele zařízení s macOS

1. 8. 2022. (redaktor: František Doupal, zdroj: Eset)
Výzkumní analytici společnosti Eset objevili dosud neznámý malware typu backdoor pro platformu macOS, který špehuje uživatele napadených zařízení. Eset pojmenoval malware jako CloudMensis, protože ke komunikaci s útočníky využívá služby cloudových úložišť a adresáře označuje názvy měsíců.

Malware jako svůj řídící a kontrolní (C&C) kanál využívá tři různá cloudová úložiště: pCloud, Yandex Disk a Dropbox. CloudMensis může vydávat 39 příkazů, včetně exfiltrace dokumentů, stisků kláves a snímků obrazovky na napadených zařízeních. Metadata z použitých služeb cloudových úložišť ukázala, že první Mac útočníci kompromitovali 4. února 2022. Zatím velmi omezené rozšíření CloudMensis naznačuje, že jde o cílenou operaci.

CloudMensis představuje hrozbu pro uživatele počítačů Mac, ale jeho velmi omezené rozšíření naznačuje, že je používán jako součást cílené operace. Podle analýzy společnosti Eset využívají útočníci CloudMensis na konkrétní cíle, které jsou pro ně zajímavé. Využití zranitelností k obejití bezpečnostních systémů operačního systému macOS ukazuje, že se útočníci aktivně snaží maximalizovat úspěch svých špionážních operací. Během výzkumu zároveň analytici nezjistili žádné neznámé zranitelnosti (zero days), které by útočníci využívali. Eset tedy doporučuje používat zařízení s aktualizovaným systémem macOS, aby se uživatelé vyhnuli alespoň obcházení bezpečnostních systémů.

CloudMensis využívá k exfiltraci citlivých dokumentů známá cloudová úložiště

„Stále nevíme, jak se CloudMensis prvotně šíří a kdo jsou jeho cíle. Obecná kvalita kódu a absence obfuskace neboli zastíracích prvků v kódu ukazuje, že útočníci možná nejsou příliš obeznámeni s vývojem na počítačích Mac a nejsou příliš pokročilí. Přesto vynaložili mnoho prostředků na to, aby se CloudMensis stal výkonným špionážním nástrojem a hrozbou pro potenciální cíle,“ vysvětlil Marc-Etienne Léveillé, výzkumný specialista společnosti Eset, který CloudMensis analyzoval.

Jakmile CloudMensis získá administrátorská oprávnění ke spuštění malwaru, spouští v první fázi kód, který prostřednictvím cloudového úložiště rozšíří svou funkcionalitu.

Druhá fáze je mnohem rozsáhlejší část útoku, ve které malware již obsahuje řadu funkcí, díky kterým dokáže shromažďovat informace z napadených počítačů Mac. Záměrem útočníků je zde jednoznačně exfiltrace dokumentů, pořizování snímků obrazovky, prohlížení e-mailových příloh a dalších citlivých dokumentů. V současné době dokáže malware vykonávat 39 příkazů určených ke špehování obětí.

Metadata ze zneužitých služeb cloudových úložišť odhalují zajímavé podrobnosti o operaci, například, že příkazy začaly být botům předávány již od 4. února 2022.

Společnost Apple nedávno přiznala výskyt spywaru, který se zaměřuje na uživatele jejích produktů, a v systémech iOS, iPadOS a macOS představila režim Lockdown Mode, který deaktivuje funkce často zneužívané ke spuštění kódu a nasazení malwaru.

Více informací

Další technické podrobnosti o malwaru CloudMensis najdete v příspěvku na webu WeLiveSecurity.

Štítky: 
Malware, Bezpečnost, MacOS, Apple, Eset
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Raja Patel, senior vice prezident pro vývoj bezpečnostních produktů, Sophos

Ochrana proti sofistikovaným kybernetickým útokům vyžaduje vícevrstvou obranu

2. 4. 2024. (redaktor: František Doupal, zdroj: Sophos)
Podvodníci proměnili počítačovou kriminalitu v sofistikovaný a nebezpečný tanec. Využívají umělou inteligenci (AI) k vylepšování útoků prostřednictvím sociálního inženýrství a k napadání svých cílů mají k dispozici malware poskytovaný formou služby (Malware-as-a-Service, MaaS). Čtěte více

Kybernetická kriminalita a hrozby pro malé a středně velké podniky

19. 3. 2024. (redaktor: František Doupal, zdroj: Sophos)
Studie Sophos Threat Report pro rok 2024 popisuje „Kyberkriminalitu na hlavní obchodní třídě“ a největší hrozby, kterým malé a středně velké podniky čelí. Podle studie v roce 2023 téměř 50 % detekcí malwaru v malých a středně velkých podnicích představovaly keyloggery, spyware a stealery (tedy malware, který útočníci používají ke krádeži dat a přihlašovacích údajů). Čtěte více

Spyware v lednu posílil na pětinu všech detekcí

20. 2. 2024. (redaktor: František Doupal, zdroj: Eset)
Nebezpečné e-mailové přílohy šířící spyware Agent Tesla, spyware Formbook a password stealer Fareit byly nejčastějšími lednovými hrozbami pro uživatele operačního systému Windows v Česku. Přílohy útočníci dlouhodobě vydávají za doklady k objednávkám či za faktury. Buď byly opět součástí globálních kampaní, nebo v českém překladu cíleně zaměřeny na české uživatele. Čtěte více

České organizace čelí nejčastěji útokům zlodějského malwaru NanoCore

9. 2. 2024. (redaktor: František Doupal, zdroj: Check Point)
Check Point Research zveřejnil Celosvětový index dopadu hrozeb, podle kterého byl v prosinci nejrozšířenějším škodlivým kódem FakeUpdates. Ten využívá podvodné webové stránky k oklamání uživatelů a snaží se je přimět ke spuštění falešné aktualizace prohlížeče. Navíc šíří další nebezpečný malware, jako jsou GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult. Čtěte více