Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

CloudMensis: il malware che prende di mira macOS scoperto da ESET

Redazione RHC : 24 Luglio 2022 08:00

Gli esperti ESET hanno scoperto il malware CloudMensis, che viene utilizzato per creare backdoor sui dispositivi che eseguono macOS e quindi rubare informazioni. 

Il malware deve il suo nome al fatto che utilizza gli archivi cloud pCloud, Dropbox e Yandex.Disk come server di controllo.

Le capacità di CloudMensis indicano che l’obiettivo principale dei suoi operatori è raccogliere informazioni riservate dalle macchine infette. 

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Ad esempio, il malware è in grado di acquisire schermate, rubare documenti, intercettare sequenze di tasti e compilare elenchi di e-mail, allegati e file archiviati su supporti rimovibili.

CloudMensis supporta dozzine di comandi diversi, che consentono ai suoi operatori di eseguire una varietà di azioni su macchine infette:

  • modificare la configurazione del malware, il provider di archiviazione cloud e i token di autenticazione, le estensioni di file di interesse, la frequenza di polling dell’archiviazione cloud e così via;
  • fare un elenco di processi in esecuzione;
  • catturare lo schermo;
  • fare un elenco di lettere e allegati;
  • fare un elenco di file su supporti rimovibili;
  • eseguire i comandi shell e caricare il risultato nell’archivio cloud;
  • scaricare ed eseguire file arbitrari.

Secondo l’analisi ESET, gli aggressori hanno infettato il primo Mac già il 4 febbraio 2022. Da allora, hanno usato solo occasionalmente la backdoor per compromettere altre macchine, suggerendo la natura mirata di questa campagna.

È interessante notare che, una volta implementato, CloudMensis è in grado di aggirare il sistema Transparency Consent and Control (TCC), che chiede all’utente se è necessario concedere all’app l’autorizzazione per acquisire schermate o monitorare le sequenze di tasti. Il meccanismo TCC è progettato per bloccare l’accesso ai dati utente sensibili, consentendo agli utenti macOS di personalizzare le impostazioni di privacy per varie applicazioni e dispositivi (inclusi microfoni e fotocamere).

Le regole create dall’utente sono archiviate in un database protetto da System Integrity Protection (SIP), che garantisce che solo il demone TCC possa modificarle. Pertanto, se un utente ha disabilitato SIP sul sistema, CloudMensis si concederà le autorizzazioni necessarie semplicemente aggiungendo nuove regole a TCC.db.

Tuttavia, anche se SIP è abilitato e qualsiasi versione di macOS Catalina precedente alla 10.15.6 è installata sulla macchina, CloudMensis può comunque ottenere i diritti necessari sfruttando una vulnerabilità in CoreFoundation che ha l’identificatore CVE-2020-9934 ed è stata corretta da Apple due anni fa. Questo bug forzerà il demone TCC (tccd) a caricare un database su cui CloudMensis può scrivere.

Il vettore dell’infezione, così come gli obiettivi degli hacker, sono ancora sconosciuti, ma i ricercatori scrivono che, a giudicare dal modo in cui gli aggressori gestiscono Objective-C, non hanno praticamente familiarità con macOS. 

Allo stesso tempo, gli esperti ammettono che CloudMensis è ancora un potente strumento di spionaggio che può rappresentare una seria minaccia per le potenziali vittime.

“L’uso delle vulnerabilità per aggirare i meccanismi di difesa indica che gli operatori di malware stanno attivamente cercando di massimizzare il successo delle loro operazioni di spionaggio”

affermano gli esperti.

“Allo stesso tempo, il nostro studio non ha trovato nessuno 0day utilizzato da questo gruppo”.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Dentro la mente di LockBit: profilazione criminologica di un gruppo ransomware “aziendale”

Nel mondo del cybercrime moderno, dove le frontiere tra criminalità e imprenditoria si fanno sempre più sfumate, il gruppo ransomware LockBit rappresenta un caso di studio affascinante. Atti...

Più le AI diventano come noi, più soffriranno di Social Engineering? Il caso di Copilot che preoccupa

Microsoft 365 Copilot è uno strumento di intelligenza artificiale integrato in applicazioni Office come Word, Excel, Outlook, PowerPoint e Teams. I ricercatori hanno recentemente scoperto che lo ...

CVE-2025-32710: La falla zero-click nei servizi RDP che può causare la totale compromissione del tuo server

Una vulnerabilità di sicurezza critica nei Servizi Desktop remoto di Windows, monitorata con il codice CVE-2025-32710, consente ad aggressori non autorizzati di eseguire codice arbitrario in...

RHC Intervista GhostSec: l’hacktivismo tra le ombre del terrorismo e del conflitto cibernetico

Ghost Security, noto anche come GhostSec, è un gruppo hacktivista emerso nel contesto della guerra cibernetica contro l’estremismo islamico. Le sue prime azioni risalgono alla fase success...

Arriva PathWiper! Il nuovo malware che devasta le infrastrutture critiche in Ucraina

Gli analisti di Cisco Talos hanno segnalato che le infrastrutture critiche in Ucraina sono state attaccate da un nuovo malware che distrugge i dati chiamato PathWiper. I ricercatori scrivono...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006