Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

CloudMensis: il malware che prende di mira macOS scoperto da ESET

Redazione RHC : 24 Luglio 2022 08:00

Gli esperti ESET hanno scoperto il malware CloudMensis, che viene utilizzato per creare backdoor sui dispositivi che eseguono macOS e quindi rubare informazioni. 

Il malware deve il suo nome al fatto che utilizza gli archivi cloud pCloud, Dropbox e Yandex.Disk come server di controllo.

Le capacità di CloudMensis indicano che l’obiettivo principale dei suoi operatori è raccogliere informazioni riservate dalle macchine infette. 

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Ad esempio, il malware è in grado di acquisire schermate, rubare documenti, intercettare sequenze di tasti e compilare elenchi di e-mail, allegati e file archiviati su supporti rimovibili.

    CloudMensis supporta dozzine di comandi diversi, che consentono ai suoi operatori di eseguire una varietà di azioni su macchine infette:

    • modificare la configurazione del malware, il provider di archiviazione cloud e i token di autenticazione, le estensioni di file di interesse, la frequenza di polling dell’archiviazione cloud e così via;
    • fare un elenco di processi in esecuzione;
    • catturare lo schermo;
    • fare un elenco di lettere e allegati;
    • fare un elenco di file su supporti rimovibili;
    • eseguire i comandi shell e caricare il risultato nell’archivio cloud;
    • scaricare ed eseguire file arbitrari.

    Secondo l’analisi ESET, gli aggressori hanno infettato il primo Mac già il 4 febbraio 2022. Da allora, hanno usato solo occasionalmente la backdoor per compromettere altre macchine, suggerendo la natura mirata di questa campagna.

    È interessante notare che, una volta implementato, CloudMensis è in grado di aggirare il sistema Transparency Consent and Control (TCC), che chiede all’utente se è necessario concedere all’app l’autorizzazione per acquisire schermate o monitorare le sequenze di tasti. Il meccanismo TCC è progettato per bloccare l’accesso ai dati utente sensibili, consentendo agli utenti macOS di personalizzare le impostazioni di privacy per varie applicazioni e dispositivi (inclusi microfoni e fotocamere).

    Le regole create dall’utente sono archiviate in un database protetto da System Integrity Protection (SIP), che garantisce che solo il demone TCC possa modificarle. Pertanto, se un utente ha disabilitato SIP sul sistema, CloudMensis si concederà le autorizzazioni necessarie semplicemente aggiungendo nuove regole a TCC.db.

    Tuttavia, anche se SIP è abilitato e qualsiasi versione di macOS Catalina precedente alla 10.15.6 è installata sulla macchina, CloudMensis può comunque ottenere i diritti necessari sfruttando una vulnerabilità in CoreFoundation che ha l’identificatore CVE-2020-9934 ed è stata corretta da Apple due anni fa. Questo bug forzerà il demone TCC (tccd) a caricare un database su cui CloudMensis può scrivere.

    Il vettore dell’infezione, così come gli obiettivi degli hacker, sono ancora sconosciuti, ma i ricercatori scrivono che, a giudicare dal modo in cui gli aggressori gestiscono Objective-C, non hanno praticamente familiarità con macOS. 

    Allo stesso tempo, gli esperti ammettono che CloudMensis è ancora un potente strumento di spionaggio che può rappresentare una seria minaccia per le potenziali vittime.

    “L’uso delle vulnerabilità per aggirare i meccanismi di difesa indica che gli operatori di malware stanno attivamente cercando di massimizzare il successo delle loro operazioni di spionaggio”

    affermano gli esperti.

    “Allo stesso tempo, il nostro studio non ha trovato nessuno 0day utilizzato da questo gruppo”.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Italia sarai pronta al Blackout Digitale? Dopo La Spagna l’attacco informatico alla NS Power

    Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...

    Sicurezza è Lavoro: dal cantiere al cloud, dobbiamo proteggere chi costruisce l’Italia!

    1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...

    Buon World Password Day! Tra MIT, Hacker, Infostealer e MFA. Perchè sono così vulnerabili

    Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...

    Benvenuti su Mist Market: dove con un click compri droga, identità e banconote false

    Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...

    La Cina Accusa la NSA di aver usato Backdoor Native su Windows per hackerare i Giochi Asiatici

    Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006