ESET виявив бекдор, який шпигунить за користувачами пристроїв Mac
ESET виявив бекдор, який шпигунить за користувачами пристроїв Mac
ESET виявив бекдор CloudMensis, який шпигує за користувачами заражених пристроїв Mac та використовує загальнодоступні сервіси хмарних сховищ для обміну даними зі зловмисниками. Загроза Mac може викрадати документи, записувати натискання клавіш, робити знімки екрана, отримувати доступ до листів і вкладень електронної пошти, а також файлів зі змінних носіїв.
Обмежене поширення шкідливої програми свідчить про використання у цілеспрямованих атаках. Згідно з дослідженням ESET, зловмисники розгортають CloudMensis на пристроях певних цілей, які цікавлять хакерів. Використовуючи вразливості для обходу захисту Mac, кіберзлочинці активно намагаються шпигунські дії. При цьому використання зловмисниками "0-денних" уразливостей виявлено не було. Тому слід регулярно оновлювати пристрої Mac, щоб мінімізувати ризик отримання хакерів до важливих файлів.
«Наразі спосіб поширення та основні цілі загрози невідомі. Загальна якість коду та відсутність методів заплутування показують, що зловмисники, ймовірно, недостатньо глибоко обізнані з особливостями розробки програм для Mac. Незважаючи на це, було витрачено багато ресурсів, щоб зробити CloudMensis потужним шпигунським інструментом та небезпечною загрозою для Mac», - пояснює Марк-Етьєн Левейє, дослідник компанії ESET.
Як тільки CloudMensis виконує код і отримує адміністративні привілеї, запускається перше шкідливе програмне забезпечення, яке отримує більше функцій другого етапу розгортання з сервісу хмарного сховища.
На другому етапі шкідливий компонент має розширені можливості для збору інформації із зараженого пристрою Mac. Мета зловмисників полягає у отриманні документів, знімків екрана, вкладень електронної пошти та інших конфіденційних даних. Усього зараз доступно 39 команд.
CloudMensis використовує хмарне сховище для отримання команд від зловмисників, так і для перехоплення файлів. Зокрема, загроза для Mac підтримує трьох різних провайдерів: pCloud, Yandex Disk та Dropbox. Конфігурація, що міститься в проаналізованому зразку шкідливої програми, має токени автентифікації для pCloud та Yandex Disk.
Крім цього, відповідно до метаданих хмарних сервісів, перші команди були відправлені загрозі 04 лютого 2022 року.
Варто зазначити, що нещодавно компанія Apple визнала наявність шпигунського програмного забезпечення, орієнтованого на користувачів її продуктів. У зв'язку з цим був представлений режим блокування на пристроях iOS, iPadOS і macOS, який відключає функції, які зазвичай використовуються для виконання та розгортання шкідливого коду.
