ESET saugos įmonės tyrėjai atrado naujos rūšies kenkėjišką programą, žinomą kaip „CloudMensis“. Tai išnaudoja „macOS“ sistemas, kad galėtų šnipinėti vartotojus ir pavogti jų asmeninius duomenis, įskaitant dokumentus, el. pašto priedus ir klavišų paspaudimus. Kenkėjiška programa taip pat gali būti naudojama aukos įrenginyje užfiksuoti ekrano kopijas.
„CloudMensis Backdoors“ „macOS“ įrenginiai leidžia pavogti duomenis
Nustatyta, kad „CloudMensis“ kenkėjiška programa išnaudoja viešai prieinamą programą debesies saugyklos teikėjai, tokie kaip „DropBox“., „pCloud“ ir „Yandex Disk“, kad įsiskverbtų į nurodytą „MacOS“ sistemą ir pavogtų vartotojo duomenis. A įrašas apie „CloudMensis“., ESET tai apibūdino kaip „anksčiau nežinomą MacOS užpakalines duris“.
Kadangi „CloudMensis“ gali apeiti „Apple“ „macOS“ skaidrumo sutikimą ir valdymą (TCC), jis turi galimybę peržiūrėti naudotojo veiklą jo „macOS“ įrenginyje realiuoju laiku ir išgauti duomenis iš saugyklos debesyje programas. „CloudMensis“ ilgas stebėjimo komandų sąrašas taip pat leidžia atlikti įvairius veiksmus tam tikros aukos įrenginyje be jo leidimo ar žinios.
Ši galimybė apeiti Apple macOS TCC rodo, kad CloudMensis jokiu būdu nėra pagrindinė kenkėjiškų programų rūšis. Atvirkščiai, jo sudėtingumo lygis kelia nerimą.
„CloudMensis“ gali būti nukreipta į didelės vertės įrenginius
Nors „CloudMensis“ buvo oficialiai aptiktas 2022 m. balandžio mėn., pirmoji užfiksuota ataka tęsiasi prieš du mėnesius, vasario 4 d. Nuo to laiko iki balandžio mėnesio tik 51 vartotojas tapo šios kenkėjiškos programos aukomis.
Nors gali atrodyti palengva, kad toks mažas aukų skaičius iki šiol buvo paveiktas kenkėjiškų programų „CloudMensis“, tai rodo, kad operatoriai atakuoja konkrečius vartotojus. Taigi, užuot platinę kenkėjišką programą į bet kurį kompiuterį, kuris ją priims, šie užpuolikai greičiausiai kreipiasi į asmenis, kurie gali turėti ką nors vertingo pavogti.
Atrodo, kad „CloudMensis“ operatoriai nepažįsta „macOS“.
Nors „CloudMensis“ akivaizdžiai yra vienas iš sudėtingesnių kenkėjiškų programų padermės, atrodo, kad jos operatoriai nėra gerai išmanantys „macOS“ sistemas. Mes tai žinome, nes jų patirtis naudojant „Objective-C“ kodavimą (kalba, naudojama OS X ir „iOS“ palaikomiems įrenginiams) atrodo gana paprasta. Tačiau tai nereiškia, kad „CloudMensis“ vis dar nekelia pavojaus „MacOS“ vartotojams.
„CloudMensis“ ir toliau kelia grėsmę
Nors ESET pranešė, kad rašant šį straipsnį nebuvo užfiksuota jokių nulinės dienos išnaudojimų naudojant „CloudMensis“, ši kenkėjiška programa vis dar kelia rimtą grėsmę „MacOS“ naudotojams.
ESET vis dar dirba siekdama nustatyti, kaip ši kenkėjiška programa iš pradžių plinta ir kodėl yra nukreipiami į tam tikrus vartotojus, o tai reiškia, kad ateityje gali atsirasti daugiau atakų. Naudotojams buvo patarta nuolat atnaujinti savo „macOS“ programinę įrangą, kad būtų padidintas įrenginių saugos lygis.