CloudMensis: Spyware che colpisce MacOS

Pubblicato da u145 il

Scoperta negli ultimi giorni dai ricercatori di ESET una nuova Backdoor per sistemi MacOS. Obiettivo del malware è l’esfiltrazione di informazioni dal sistema vittima sfruttando i servizi di archiviazione cloud.
La Backdoor, nominata dai ricercatori CloudMensis, recupera dal sistema vittima informazioni come documenti, messaggi e-mail ed allegati, file presenti nei dispositivi rimovibili, screenshot e la sequenza dei tasti premuti dall’utente.

CloudMensis è una seria minaccia per gli utenti Mac (Apple), ma la sua distribuzione molto limitata suggerisce si tratti di uno strumento utilizzato in operazioni offensive mirate.

Non sappiamo ancora come venga inizialmente distribuito CloudMensis e chi siano i target. La qualità generale del codice e la mancanza di offuscamento mostrano che gli autori potrebbero non avere molta familiarità con lo sviluppo Mac e non sono così avanzati. Tuttavia, molte risorse sono state impiegate per rendere CloudMensis un potente strumento di spionaggio e una minaccia per potenziali obiettivi“, spiega il ricercatore ESET Marc-Etienne Léveillé, che ha analizzato CloudMensis

CloudMensis – Come avviene la compromissione

Dopo l’avvio nel sistema vittima CloudMensis esegue attività di Privilege Escalation per eseguire codice con i massimi privilegi sfruttando quattro diverse vulnerabilità e cancellando le tracce dalla sandbox di Safari.

Il primo stadio si occupa del download da un servizio di archiviazione in cloud di un secondo stadio più evoluto necessario per la raccolta di informazioni dal sistema compromesso. Complessivamente presenti 39 comandi per l’esfiltrazione di documenti, schermate, allegati di posta elettronica e altri dati sensibili.

Il secondo stadio sfrutta una vulnerabilità (CVE-2020-9934) per aggirare il framework di sicurezza Transparency Consent, and Control (TCC), framework che garantisce che tutte le app ottengano il consenso esplicito dell’utente per accedere ai file in Documenti, Download, Desktop, iCloud Drive e volumi di rete.

Ciò che complica le attività di Threat Detection di CloudMensis tramite attività di Network Security è l’utilizzo di servizi di cloud storage sia per l’esfiltrazione dei file che per lo scambio di comandi (Command & Control, C2). Il malware risulta supportare tre diversi provider: pCloud, Yandex Disk e Dropbox.

Ricostruzione Eset – Link

Il Malware ha cominciato a trasmettere comandi ai server di comando e controllo a partire dal 4 febbraio 2022.

IOC

  • Downloader (primo stadio)
    • SHA256 273633eee4776aef40904124ed1722a0793e6567f3009cdb037ed0a9d79c1b0b
  • Client (secondo stadio)
    • SHA256 317ce26cae14dc9a5e4d4667f00fee771b4543e91c944580bbb136e7fe339427
  • Client (secondo stadio)
    • SHA256 b8a61adccefb13b7058e47edcd10a127c483403cf38f7ece126954e95e86f2bd