Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Шпионское ПО CloudMensis годами скрывалось от ИБ-специалистов

21/07/22

hack81-Jul-21-2022-10-50-42-10-AM

Специалисты из ESET обнаружили новую вредоносную программу, получившую название CloudMensis. Вредонос написан на языке Objective-C и представляет из себя шпионское ПО и бэкдор в одном флаконе, направленные на устройства с чипами Intel и Apple.

Экспертам пока неясно как распространяется шпионское ПО, пишут Securitylab. Однако известно, что с февраля оно было частью небольшого количества целевых атак. Кроме этого, CloudMensis использует некоторые уязвимости Safari, обнаруженные и исправленные в 2017 году, поэтому специалисты считают, что вредонос может существовать уже несколько лет. Еще у шпионского ПО была найдена интересная особенность – оно не использует 0-day уязвимости.

CloudMensis развертывается в два этапа после того, как хакер получает привилегии администратора и возможность выполнять произвольный код. Компонент первого этапа загружает и выполняет основную полезную нагрузку в качестве общесистемного демона.

После развертывания на Mac, вредоносная программа собирает документы, скриншоты и вложения электронной почты. Кроме этого, CloudMensis обходит систему TCC (Transparency, Consent and Control), которая уведомляет пользователя о том, что приложение пытается получить доступ к определенным функциям, после чего получает возможности кейлоггинга, создания скриншотов экрана жертвы и сканирования хранилища на предмет нужных документов. Вредонос также принимает 39 команд, которые используются для выполнения shell-команд, а также загрузки и выполнения произвольных файлов.

Операторы крадут данные и контролируют шпионское ПО с помощью облачных сервисов, таких как pCloud, Yandex Disk и Dropbox.

По словам исследователей, общее качество кода и его простота говорят о том, что разработчики CloudMensis не очень опытны в разработке вредоносного ПО для Mac. Тем не менее, CloudMensis остается мощным инструментом, который может использоваться для шпионажа и кражи данных.

Напомним, в бета-версии iOS 16 Apple уже выпустила новый режим, защищающий пользователя от шпионского ПО. Lockdown mode блокирует некоторые функции, чтобы защитить пользователей с высоким уровнем риска от «целенаправленных кибератак».

Темы:УгрозыESETбэкдорыКиберугрозы
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • Фиды для SOC. Осведомлен – значит вооружен
    Александр Пирожков, Руководитель группы по развитию бизнеса в СНГ и Грузии компании ESET
    Разведка в сфере ИБ – это подключение потоков данных об угрозах. Рано или поздно каждый современный SOC осваивает данный инструмент.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...