CloudMensis: il malware che prende di mira macOS scoperto da ESET

Gli esperti ESET hanno scoperto il malware CloudMensis, che viene utilizzato per creare backdoor sui dispositivi che eseguono macOS e quindi rubare informazioni. 

Il malware deve il suo nome al fatto che utilizza gli archivi cloud pCloud, Dropbox e Yandex.Disk come server di controllo.

Le capacità di CloudMensis indicano che l’obiettivo principale dei suoi operatori è raccogliere informazioni riservate dalle macchine infette. 

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Ad esempio, il malware è in grado di acquisire schermate, rubare documenti, intercettare sequenze di tasti e compilare elenchi di e-mail, allegati e file archiviati su supporti rimovibili.

CloudMensis supporta dozzine di comandi diversi, che consentono ai suoi operatori di eseguire una varietà di azioni su macchine infette:

• modificare la configurazione del malware, il provider di archiviazione cloud e i token di autenticazione, le estensioni di file di interesse, la frequenza di polling dell’archiviazione cloud e così via;
• fare un elenco di processi in esecuzione;
• catturare lo schermo;
• fare un elenco di lettere e allegati;
• fare un elenco di file su supporti rimovibili;
• eseguire i comandi shell e caricare il risultato nell’archivio cloud;
• scaricare ed eseguire file arbitrari.

Secondo l’analisi ESET, gli aggressori hanno infettato il primo Mac già il 4 febbraio 2022. Da allora, hanno usato solo occasionalmente la backdoor per compromettere altre macchine, suggerendo la natura mirata di questa campagna.

È interessante notare che, una volta implementato, CloudMensis è in grado di aggirare il sistema Transparency Consent and Control (TCC), che chiede all’utente se è necessario concedere all’app l’autorizzazione per acquisire schermate o monitorare le sequenze di tasti. Il meccanismo TCC è progettato per bloccare l’accesso ai dati utente sensibili, consentendo agli utenti macOS di personalizzare le impostazioni di privacy per varie applicazioni e dispositivi (inclusi microfoni e fotocamere).

Le regole create dall’utente sono archiviate in un database protetto da System Integrity Protection (SIP), che garantisce che solo il demone TCC possa modificarle. Pertanto, se un utente ha disabilitato SIP sul sistema, CloudMensis si concederà le autorizzazioni necessarie semplicemente aggiungendo nuove regole a TCC.db.

Tuttavia, anche se SIP è abilitato e qualsiasi versione di macOS Catalina precedente alla 10.15.6 è installata sulla macchina, CloudMensis può comunque ottenere i diritti necessari sfruttando una vulnerabilità in CoreFoundation che ha l’identificatore CVE-2020-9934 ed è stata corretta da Apple due anni fa. Questo bug forzerà il demone TCC (tccd) a caricare un database su cui CloudMensis può scrivere.

Il vettore dell’infezione, così come gli obiettivi degli hacker, sono ancora sconosciuti, ma i ricercatori scrivono che, a giudicare dal modo in cui gli aggressori gestiscono Objective-C, non hanno praticamente familiarità con macOS. 

Allo stesso tempo, gli esperti ammettono che CloudMensis è ancora un potente strumento di spionaggio che può rappresentare una seria minaccia per le potenziali vittime.

“L’uso delle vulnerabilità per aggirare i meccanismi di difesa indica che gli operatori di malware stanno attivamente cercando di massimizzare il successo delle loro operazioni di spionaggio”

affermano gli esperti.

“Allo stesso tempo, il nostro studio non ha trovato nessuno 0day utilizzato da questo gruppo”.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.