Forskere ved ESET-sikkerhetsfirmaet har oppdaget en ny type skadelig programvare kjent som CloudMensis. Dette utnytter macOS-systemer for å spionere på brukere og stjele deres private data, inkludert dokumenter, e-postvedlegg og tastetrykk. Skadevaren kan også brukes til å ta skjermbilder på et offers enhet.
CloudMensis Backdoors macOS-enheter for å stjele data
CloudMensis malware har vist seg å utnytte offentlig tilgjengelig skylagringsleverandører som DropBox, pCloud og Yandex Disk for å infiltrere et gitt macOS-system og stjele brukerdata. I en innlegg om CloudMensis, beskrev ESET det som en "tidligere ukjent macOS-bakdør".
Fordi CloudMensis kan omgå Apples macOS Transparency Consent and Control (TCC), har den muligheten for å se en brukers aktivitet på deres macOS-enhet i sanntid og trekke ut data fra skylagring programmer. CloudMensis' lange liste over overvåkingskommandoer lar den også utføre en rekke handlinger på et gitt offers enhet uten deres autorisasjon eller viten.
Denne muligheten til å omgå Apples macOS TCC antyder at CloudMensis på ingen måte er en grunnleggende type skadelig programvare. Snarere er nivået av sofistikering ganske bekymringsfullt.
CloudMensis kan være rettet mot høyverdienheter
Mens CloudMensis offisielt ble oppdaget i april 2022, strekker det første registrerte angrepet seg tilbake til to måneder før, 4. februar. Mellom da og april har bare 51 brukere blitt ofre for denne skadelige programvaren.
Selv om det kan høres lettende ut at et så lite antall ofre så langt har blitt påvirket av CloudMensis malware, tyder dette på at operatørene retter seg mot bestemte brukere for å angripe. Så i stedet for å spre skadelig programvare til en hvilken som helst datamaskin som godtar det, går disse angriperne mest sannsynlig etter personer som kan ha noe verdifullt å stjele.
CloudMensis-operatører virker ukjente med macOS
Selv om CloudMensis tydeligvis er en av de mer sofistikerte stammer av skadelig programvare, ser det ut til at operatørene ikke er godt kjent med macOS-systemer. Vi vet dette siden deres erfaring med Objective-C-koding (et språk som brukes for OS X- og iOS-støttede enheter) ser ut til å være ganske grunnleggende. Men dette betyr ikke at CloudMensis fortsatt ikke er en risiko for macOS-brukere.
CloudMensis fortsetter å være en trussel
Selv om ESET har rapportert at ingen nulldagers utnyttelser ved bruk av CloudMensis er registrert i skrivende stund, utgjør denne skadevaren fortsatt en alvorlig trussel for macOS-brukere.
ESET jobber fortsatt med å finne ut hvordan denne skadelige programvaren i utgangspunktet spres og hvorfor enkelte brukere blir målrettet, noe som betyr at flere angrep kan forekomme i fremtiden. Brukere har blitt bedt om å holde macOS-programvaren oppdatert for å maksimere enhetenes sikkerhetsnivåer.