Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Gli esperti ESET hanno scoperto il malware CloudMensis, che viene utilizzato per creare backdoor sui dispositivi che eseguono macOS e quindi rubare informazioni.
Il malware deve il suo nome al fatto che utilizza gli archivi cloud pCloud, Dropbox e Yandex.Disk come server di controllo.
Le capacità di CloudMensis indicano che l’obiettivo principale dei suoi operatori è raccogliere informazioni riservate dalle macchine infette.
Ad esempio, il malware è in grado di acquisire schermate, rubare documenti, intercettare sequenze di tasti e compilare elenchi di e-mail, allegati e file archiviati su supporti rimovibili.
CloudMensis supporta dozzine di comandi diversi, che consentono ai suoi operatori di eseguire una varietà di azioni su macchine infette:
Secondo l’analisi ESET, gli aggressori hanno infettato il primo Mac già il 4 febbraio 2022. Da allora, hanno usato solo occasionalmente la backdoor per compromettere altre macchine, suggerendo la natura mirata di questa campagna.
È interessante notare che, una volta implementato, CloudMensis è in grado di aggirare il sistema Transparency Consent and Control (TCC), che chiede all’utente se è necessario concedere all’app l’autorizzazione per acquisire schermate o monitorare le sequenze di tasti. Il meccanismo TCC è progettato per bloccare l’accesso ai dati utente sensibili, consentendo agli utenti macOS di personalizzare le impostazioni di privacy per varie applicazioni e dispositivi (inclusi microfoni e fotocamere).
Le regole create dall’utente sono archiviate in un database protetto da System Integrity Protection (SIP), che garantisce che solo il demone TCC possa modificarle. Pertanto, se un utente ha disabilitato SIP sul sistema, CloudMensis si concederà le autorizzazioni necessarie semplicemente aggiungendo nuove regole a TCC.db.
Tuttavia, anche se SIP è abilitato e qualsiasi versione di macOS Catalina precedente alla 10.15.6 è installata sulla macchina, CloudMensis può comunque ottenere i diritti necessari sfruttando una vulnerabilità in CoreFoundation che ha l’identificatore CVE-2020-9934 ed è stata corretta da Apple due anni fa. Questo bug forzerà il demone TCC (tccd) a caricare un database su cui CloudMensis può scrivere.
Il vettore dell’infezione, così come gli obiettivi degli hacker, sono ancora sconosciuti, ma i ricercatori scrivono che, a giudicare dal modo in cui gli aggressori gestiscono Objective-C, non hanno praticamente familiarità con macOS.
Allo stesso tempo, gli esperti ammettono che CloudMensis è ancora un potente strumento di spionaggio che può rappresentare una seria minaccia per le potenziali vittime.
“L’uso delle vulnerabilità per aggirare i meccanismi di difesa indica che gli operatori di malware stanno attivamente cercando di massimizzare il successo delle loro operazioni di spionaggio”
affermano gli esperti.
“Allo stesso tempo, il nostro studio non ha trovato nessuno 0day utilizzato da questo gruppo”.
