CloudMensis: il malware che prende di mira macOS scoperto da ESET

Redazione RHC : 24 Luglio 2022 08:00

Gli esperti ESET hanno scoperto il malware CloudMensis, che viene utilizzato per creare backdoor sui dispositivi che eseguono macOS e quindi rubare informazioni. 

Il malware deve il suo nome al fatto che utilizza gli archivi cloud pCloud, Dropbox e Yandex.Disk come server di controllo.

Le capacità di CloudMensis indicano che l’obiettivo principale dei suoi operatori è raccogliere informazioni riservate dalle macchine infette. 

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Ad esempio, il malware è in grado di acquisire schermate, rubare documenti, intercettare sequenze di tasti e compilare elenchi di e-mail, allegati e file archiviati su supporti rimovibili.

CloudMensis supporta dozzine di comandi diversi, che consentono ai suoi operatori di eseguire una varietà di azioni su macchine infette:

• modificare la configurazione del malware, il provider di archiviazione cloud e i token di autenticazione, le estensioni di file di interesse, la frequenza di polling dell’archiviazione cloud e così via;
• fare un elenco di processi in esecuzione;
• catturare lo schermo;
• fare un elenco di lettere e allegati;
• fare un elenco di file su supporti rimovibili;
• eseguire i comandi shell e caricare il risultato nell’archivio cloud;
• scaricare ed eseguire file arbitrari.

Secondo l’analisi ESET, gli aggressori hanno infettato il primo Mac già il 4 febbraio 2022. Da allora, hanno usato solo occasionalmente la backdoor per compromettere altre macchine, suggerendo la natura mirata di questa campagna.

È interessante notare che, una volta implementato, CloudMensis è in grado di aggirare il sistema Transparency Consent and Control (TCC), che chiede all’utente se è necessario concedere all’app l’autorizzazione per acquisire schermate o monitorare le sequenze di tasti. Il meccanismo TCC è progettato per bloccare l’accesso ai dati utente sensibili, consentendo agli utenti macOS di personalizzare le impostazioni di privacy per varie applicazioni e dispositivi (inclusi microfoni e fotocamere).

Le regole create dall’utente sono archiviate in un database protetto da System Integrity Protection (SIP), che garantisce che solo il demone TCC possa modificarle. Pertanto, se un utente ha disabilitato SIP sul sistema, CloudMensis si concederà le autorizzazioni necessarie semplicemente aggiungendo nuove regole a TCC.db.

Tuttavia, anche se SIP è abilitato e qualsiasi versione di macOS Catalina precedente alla 10.15.6 è installata sulla macchina, CloudMensis può comunque ottenere i diritti necessari sfruttando una vulnerabilità in CoreFoundation che ha l’identificatore CVE-2020-9934 ed è stata corretta da Apple due anni fa. Questo bug forzerà il demone TCC (tccd) a caricare un database su cui CloudMensis può scrivere.

Il vettore dell’infezione, così come gli obiettivi degli hacker, sono ancora sconosciuti, ma i ricercatori scrivono che, a giudicare dal modo in cui gli aggressori gestiscono Objective-C, non hanno praticamente familiarità con macOS. 

Allo stesso tempo, gli esperti ammettono che CloudMensis è ancora un potente strumento di spionaggio che può rappresentare una seria minaccia per le potenziali vittime.

“L’uso delle vulnerabilità per aggirare i meccanismi di difesa indica che gli operatori di malware stanno attivamente cercando di massimizzare il successo delle loro operazioni di spionaggio”

affermano gli esperti.

“Allo stesso tempo, il nostro studio non ha trovato nessuno 0day utilizzato da questo gruppo”.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli