Безбедносните истражувачи од компанијата ESET открија нов „backdoor“ на macOS што се користи во насочени напади за кражба на чувствителни информации од жртвите.
ESET го нарече новиот малициозен софтвер „CloudMensis“ бидејќи исклучиво користи јавни услуги за складирање во облак за да комуницира со своите оператори. Конкретно, користи pCloud, Yandex Disk и Dropbox за примање команди и ексфилтрација на датотеки.
„Сè уште не знаеме како првично беше дистрибуиран CloudMensis и кои се целите“, рече истражувачот на ESET, Марк-Етиен Левеје, кој го анализираше „backdoor“.
„Вкупниот квалитет на кодот и тоа што тој не е маскиран укажува дека авторите можеби не се многу запознаени со развојот на Mac и не се толку напредни. Без разлика, многу ресурси се вложени за да се направи CloudMensis моќна шпионска алатка и закана за потенцијалните цели“.
Целите се доста ограничени. Кога backdoor ќе добие администраторски привилегии, се активира компонента од првата фаза која од услугата за складирање во облак го презема малверот од втората фаза со побогати функции, објасни ESET.
Оваа поголема втора компонента може да издаде 39 команди, вклучувајќи ексфилтрација на документи, снимање екран и крадење прилози од е-пошта и други чувствителни податоци.
Метаподатоците добиени од трите засегнати облак услуги покажуваат дека малициозниот софтвер е активен од 4 февруари 2022 година и првпат беше забележан од истражувачите на ESET во април.
За да ја заобиколат заштитата на macOS, оние што стојат зад овие напади ја искористуваат познатата ранливост следена како CVE-2020-9934 што беше закрпена од Apple пред две години.