Этот жуткий бэкдор в macOS шпионит за вами, даже если вы этого не понимаете

Этот жуткий бэкдор в macOS шпионит за вами, даже если вы этого не понимаете

Недавно обнаруженное вредоносное ПО для macOS шпионило (откроется в новой вкладке) за пользователями и использовало общедоступное облако в качестве сервера управления и контроля (C2).

По словам исследователей ESET, цель кампании — извлечь как можно больше данных из целей. Сюда входят документы, электронные письма и вложения, а также списки съемных архивных файлов. Кроме того, шпионское ПО может регистрировать нажатия клавиш и делать снимки экрана.

Назвав его CloudMensis, команда ESET добавила, что его относительно ограниченное распространение предполагает целенаправленную операцию, а не широкомасштабную атаку. Злоумышленники, чья личность до сих пор неизвестна, не использовали никаких уязвимостей нулевого дня для своей кампании, что привело исследователей к выводу, что пользователи macOS, чьи терминалы (откроется в новой вкладке) обновлены, должны быть в безопасности.

десятки команд

«Мы до сих пор не знаем, как изначально распространяется CloudMensis и кто является его мишенью. Общее качество кода и отсутствие обфускации показывают, что авторы могут быть не очень хорошо знакомы с разработкой для Mac и не настолько продвинуты. Однако было вложено много ресурсов, чтобы сделать CloudMensis мощным инструментом шпионажа и угрозой для потенциальных целей», — объясняет Марк-Этьен Левей, исследователь ESET.

Исследователи добавили, что CloudMensis — это многоэтапная кампания. Во-первых, вредоносное ПО будет искать возможность выполнять код, а также административные привилегии. После этого он запускал дроппер, который извлекал более мощное вредоносное ПО второго уровня из облачного хранилища.

Всего вредоносная программа второго уровня имеет 39 команд, включая эксфильтрацию данных, создание скриншотов и т. д.

Для связи с вредоносной программой злоумышленники используют трех разных провайдеров публичных облаков: pCloud, Яндекс Диск и Dropbox. Кампания стартовала в начале февраля 2022 года.

По данным ESET, Apple признала наличие шпионского ПО, нацеленного на ее пользователей, и готовит меры по смягчению последствий в виде режима блокировки для iOS, iPadOS и macOS. Этот инструмент отключит функции, которые часто используются хакерами для получения привилегий выполнения кода на целевом устройстве.