Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Шпионское ПО CloudMensis годами скрывалось от ИБ-специалистов

21/07/22

hack81-Jul-21-2022-10-50-42-10-AM

Специалисты из ESET обнаружили новую вредоносную программу, получившую название CloudMensis. Вредонос написан на языке Objective-C и представляет из себя шпионское ПО и бэкдор в одном флаконе, направленные на устройства с чипами Intel и Apple.

Экспертам пока неясно как распространяется шпионское ПО, пишут Securitylab. Однако известно, что с февраля оно было частью небольшого количества целевых атак. Кроме этого, CloudMensis использует некоторые уязвимости Safari, обнаруженные и исправленные в 2017 году, поэтому специалисты считают, что вредонос может существовать уже несколько лет. Еще у шпионского ПО была найдена интересная особенность – оно не использует 0-day уязвимости.

CloudMensis развертывается в два этапа после того, как хакер получает привилегии администратора и возможность выполнять произвольный код. Компонент первого этапа загружает и выполняет основную полезную нагрузку в качестве общесистемного демона.

После развертывания на Mac, вредоносная программа собирает документы, скриншоты и вложения электронной почты. Кроме этого, CloudMensis обходит систему TCC (Transparency, Consent and Control), которая уведомляет пользователя о том, что приложение пытается получить доступ к определенным функциям, после чего получает возможности кейлоггинга, создания скриншотов экрана жертвы и сканирования хранилища на предмет нужных документов. Вредонос также принимает 39 команд, которые используются для выполнения shell-команд, а также загрузки и выполнения произвольных файлов.

Операторы крадут данные и контролируют шпионское ПО с помощью облачных сервисов, таких как pCloud, Yandex Disk и Dropbox.

По словам исследователей, общее качество кода и его простота говорят о том, что разработчики CloudMensis не очень опытны в разработке вредоносного ПО для Mac. Тем не менее, CloudMensis остается мощным инструментом, который может использоваться для шпионажа и кражи данных.

Напомним, в бета-версии iOS 16 Apple уже выпустила новый режим, защищающий пользователя от шпионского ПО. Lockdown mode блокирует некоторые функции, чтобы защитить пользователей с высоким уровнем риска от «целенаправленных кибератак».

Темы:УгрозыESETкибершпионажбэкдоры
Статьи по темеСтатьи по теме

  • Фиды для SOC. Осведомлен – значит вооружен
    Александр Пирожков, Руководитель группы по развитию бизнеса в СНГ и Грузии компании ESET
    Разведка в сфере ИБ – это подключение потоков данных об угрозах. Рано или поздно каждый современный SOC осваивает данный инструмент.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...