Pētnieki no ESET drošības firmas ir atklājuši jauna veida ļaunprātīgu programmatūru, kas pazīstama kā CloudMensis. Tas izmanto macOS sistēmas, lai izspiegotu lietotājus un nozagtu viņu privātos datus, tostarp dokumentus, e-pasta pielikumus un taustiņsitienus. Ļaunprātīgo programmatūru var izmantot arī, lai upura ierīcē uzņemtu ekrānuzņēmumus.
CloudMensis Backdoors MacOS ierīces datu nozagšanai
Ir atklāts, ka ļaunprātīga programmatūra CloudMensis izmanto publiski pieejamo mākoņa krātuves pakalpojumu sniedzēji, piemēram, DropBox, pCloud un Yandex Disk, lai iefiltrētos noteiktā macOS sistēmā un nozagtu lietotāja datus. Iekšā ziņa par CloudMensis, ESET to raksturoja kā "iepriekš nezināmu MacOS aizmugures durvis".
Tā kā CloudMensis var apiet Apple macOS pārskatāmības piekrišanu un kontroli (TCC), tam ir iespēja lai skatītu lietotāja darbības savā MacOS ierīcē reāllaikā un izvilktu datus no mākoņa krātuves programmas. CloudMensis garais novērošanas komandu saraksts arī ļauj veikt virkni darbību konkrētā upura ierīcē bez viņa atļaujas vai ziņas.
Šī iespēja apiet Apple macOS TCC liecina, ka CloudMensis nekādā gadījumā nav pamata ļaunprātīgas programmatūras veids. Drīzāk tā sarežģītības līmenis ir diezgan satraucošs.
CloudMensis mērķauditorija var būt augstvērtīgas ierīces
Lai gan CloudMensis oficiāli tika atklāts 2022. gada aprīlī, pirmais reģistrētais uzbrukums ilgst divus mēnešus iepriekš, 4. februārī. No tā laika līdz aprīlim tikai 51 lietotājs ir kļuvis par šīs ļaunprogrammatūras upuriem.
Lai gan tas var likties atvieglojoši, ka CloudMensis ļaunprogrammatūra līdz šim ir skārusi tik nelielu upuru skaitu, tas liecina, ka operatori ir vērsti uz konkrētiem lietotājiem, lai uzbruktu. Tātad, tā vietā, lai izplatītu ļaunprātīgu programmatūru uz jebkuru datoru, kas to pieņems, šie uzbrucēji, visticamāk, meklē personas, kurām var būt kaut kas vērtīgs, ko nozagt.
Šķiet, ka CloudMensis operatori nepārzina MacOS
Lai gan CloudMensis acīmredzami ir viens no sarežģītākajiem ļaunprātīgas programmatūras celmi, šķiet, ka tā operatori nepārzina macOS sistēmas. Mēs to zinām, jo šķiet, ka viņu pieredze ar Objective-C kodēšanu (valoda, ko izmanto OS X un iOS atbalstītajām ierīcēm) ir diezgan vienkārša. Bet tas nenozīmē, ka CloudMensis joprojām nav risks MacOS lietotājiem.
CloudMensis joprojām ir drauds
Lai gan ESET ziņoja, ka raksta tapšanas laikā nav reģistrēti nulles dienas ekspluatācijas gadījumi, izmantojot CloudMensis, šī ļaunprogrammatūra joprojām rada nopietnus draudus MacOS lietotājiem.
ESET joprojām strādā, lai noteiktu, kā šī ļaunprogrammatūra sākotnēji tiek izplatīta un kāpēc tiek atlasīti noteikti lietotāji, kas nozīmē, ka nākotnē varētu notikt vairāk uzbrukumu. Lietotājiem ir ieteikts pastāvīgi atjaunināt savu MacOS programmatūru, lai maksimāli palielinātu ierīču drošības līmeni.
