Un nuovo malware per Mac viene utilizzato per acquisire dati personali da macOS.
I ricercatori di sicurezza affermano che lo spyware CloudMensis può consentire a un utente malintenzionato di scaricare file, acquisire sequenze di tasti, acquisire schermate e altro ancora su Mac. Questo particolare spyware è in uso attivo da febbraio e sembra prendere di mira individui specifici.
Ecco tutti i dettagli:
In macOS è stata scoperta una backdoor precedentemente sconosciuta che viene attualmente sfruttata in per spiare utenti di Mac compromessi.
Scoperto per la prima volta dai ricercatori della società di sicurezza informatica ESET, il nuovo malware è stato soprannominato CloudMensis. Le capacità di CloudMensis mostrano che i suoi creatori lo hanno progettato per raccogliere informazioni dai Mac delle vittime e il malware è in grado di acquisire documenti e sequenze di tasti, elencare messaggi di posta elettronica e allegati, elencare file da archivi rimovibili ed effettuare acquisizioni di schermate.
Sebbene CloudMensis sia certamente una minaccia per gli utenti Mac, la sua distribuzione molto limitata suggerisce che sia pensato per essere utilizzato come parte di un’operazione mirata. Sulla base di ciò che i ricercatori di ESET hanno osservato finora, i criminali informatici responsabili distribuiscono il malware per prendere di mira utenti specifici che sono di loro interesse.
Non sappiamo ancora come venga inizialmente distribuito CloudMensis e chi siano i target. La qualità generale del codice mostra che gli autori potrebbero non avere molta familiarità con lo sviluppo Mac e non sono così avanzati. Tuttavia, molte risorse sono state impiegate per rendere CloudMensis un potente strumento di spionaggio e una minaccia per potenziali obiettivi.
Sebbene sia comune per il malware “phone home” ricevere comandi e scaricare componenti malware aggiuntivi, questo di solito significa connettersi a un server privato gestito da chi esegue l’attacco. CloudMensis è insolito in quanto può essere eseguito su servizi di archiviazione cloud.
Dopo aver ottenuto l’esecuzione del codice e i privilegi di amministrazione su un Mac compromesso, l’attacco esegue un malware di prima fase che recupera una seconda fase con funzionalità aggiuntive da un servizio di archiviazione cloud.
La seconda fase è un componente molto più grande, ricco di funzionalità per raccogliere informazioni dal Mac compromesso. Sebbene siano attualmente disponibili 39 comandi, la seconda fase di CloudMensis ha lo scopo di prendere documenti, schermate, allegati e-mail e altre informazioni dalle vittime.
CloudMensis utilizza il cloud storage sia per ricevere comandi dai suoi operatori sia per acquisire i file. Attualmente supporta tre diversi provider: pCloud, Yandex Disk e Dropbox.
Non è ancora chiaro come il malware sia in grado di sconfiggere le difese di macOS, poiché ESET afferma che non utilizza vulnerabilità nascoste.
Il fatto che lo spyware venga utilizzato in modo mirato significa che la maggior parte degli utenti Mac non deve preoccuparsi. Tuttavia, è preoccupante che CloudMensis sia in grado di aggirare da remoto le misure di sicurezza all’interno di macOS senza sfruttare una vulnerabilità zero-day.