Az ESET biztonsági cég kutatói egy újfajta, CloudMensis néven ismert rosszindulatú programot fedeztek fel. Ez kihasználja a macOS rendszereket, hogy kémkedjen a felhasználók után, és ellopja személyes adataikat, beleértve a dokumentumokat, az e-mail mellékleteket és a billentyűleütéseket. A rosszindulatú program képernyőképek rögzítésére is használható az áldozat eszközén.
A CloudMensis Backdoors macOS-eszközöket adatlopáshoz
A CloudMensis rosszindulatú programról kiderült, hogy kihasználja a nyilvánosan elérhető lehetőségeket felhőalapú tárolási szolgáltatók, mint például a DropBox, pCloud és Yandex Disk, hogy behatoljanak egy adott macOS rendszerbe és ellopják a felhasználói adatokat. Az a bejegyzés a CloudMensisről, az ESET "korábban ismeretlen macOS-hátsó ajtóként" írta le.
Mivel a CloudMensis képes megkerülni az Apple macOS Transparency Consent and Control (TCC) rendszerét, képes valós időben megtekintheti a felhasználó tevékenységét a macOS-eszközén, és adatokat nyerhet ki a felhőalapú tárhelyről programokat. A CloudMensis megfigyelési parancsainak hosszú listája azt is lehetővé teszi, hogy egy sor műveletet hajtson végre egy adott áldozat eszközén az áldozat engedélye vagy tudta nélkül.
Ez az Apple macOS TCC megkerülésének képessége arra utal, hogy a CloudMensis semmiképpen sem a rosszindulatú programok alapvető típusa. Inkább a kifinomultsága meglehetősen aggasztó.
A CloudMensis nagy értékű eszközöket célozhat meg
Míg a CloudMensist hivatalosan 2022 áprilisában fedezték fel, az első rögzített támadás két hónappal korábban, február 4-én nyúlik vissza. Azóta és április között mindössze 51 felhasználó esett áldozatul ennek a kártevőnek.
Bár megnyugtatónak hangozhat, hogy eddig ilyen kis számú áldozatot érintett a CloudMensis rosszindulatú program, ez arra utal, hogy az üzemeltetők konkrét felhasználókat céloznak meg támadni. Tehát ahelyett, hogy bármely számítógépre terjesztenék a rosszindulatú programot, amely elfogadja, ezek a támadók nagy valószínűséggel olyan személyeket keresnek, akiknek esetleg van valami értékes ellopnivalójuk.
Úgy tűnik, hogy a CloudMensis operátorok nem ismerik a macOS-t
Bár a CloudMensis nyilvánvalóan az egyik kifinomultabb rosszindulatú programok törzsei, úgy tűnik, hogy operátorai nem ismerik jól a macOS rendszereket. Tudjuk, hogy az Objective-C kódolással kapcsolatos tapasztalataik (az OS X és iOS által támogatott eszközökhöz használt nyelv) meglehetősen alapvetőnek tűnnek. Ez azonban nem jelenti azt, hogy a CloudMensis továbbra sem jelent kockázatot a macOS-felhasználók számára.
A CloudMensis továbbra is veszélyt jelent
Noha az ESET arról számolt be, hogy a cikk írásakor még nem rögzítettek nulladik napi CloudMensis-kizsákmányolást, ez a rosszindulatú program továbbra is komoly fenyegetést jelent a macOS-felhasználók számára.
Az ESET még mindig azon dolgozik, hogy meghatározza, hogyan terjedt el először ez a rosszindulatú program, és miért céloznak meg bizonyos felhasználókat, ami azt jelenti, hogy a jövőben további támadások fordulhatnak elő. A felhasználóknak azt tanácsoltuk, hogy tartsák frissítve a macOS-szoftverüket, hogy maximalizálják eszközeik biztonsági szintjét.
