Добавить в корзинуПозвонить
Найти в Дзене
Green Linux
2605 подписчиков

ESET определяет шпионское ПО, нацеленное на macOS, CloudMensis

9
2 мин
ESET выявляет новое шпионское ПО для macOS, CloudMensis. Apple также недавно признала, что шпионское ПО нацелено на ее продукты и просматривает режим блокировки в iOS, iPadOS и macOS, который отключает функции, часто используемые для ускорения выполнения кода и развертывания вредоносных программ. ESET заявила, что бэкдор шпионит за взломанным Mac и обменивается данными со своими операторами с помощью общедоступных облачных сервисов хранения данных. Использует облачное хранилище для обмена данными CloudMensis, разработанный на Objective-C, скомпилирован для архитектур Intel и Apple. ESET опубликовала сообщение в блоге о вредоносном ПО и заявила, что, хотя до сих пор неясно, как жертвы подвергаются этой угрозе, ESET заметила, что она получает права на выполнение кода и административные привилегии. На первом этапе двухэтапного процесса он загружает и выполняет второй этап, который включает в себя дополнительные функции. Вредоносное ПО извлекает второй этап у поставщика облачных хранилищ.

ESET выявляет новое шпионское ПО для macOS, CloudMensis. Apple также недавно признала, что шпионское ПО нацелено на ее продукты и просматривает режим блокировки в iOS, iPadOS и macOS, который отключает функции, часто используемые для ускорения выполнения кода и развертывания вредоносных программ. ESET заявила, что бэкдор шпионит за взломанным Mac и обменивается данными со своими операторами с помощью общедоступных облачных сервисов хранения данных.

Использует облачное хранилище для обмена данными

CloudMensis, разработанный на Objective-C, скомпилирован для архитектур Intel и Apple. ESET опубликовала сообщение в блоге о вредоносном ПО и заявила, что, хотя до сих пор неясно, как жертвы подвергаются этой угрозе, ESET заметила, что она получает права на выполнение кода и административные привилегии. На первом этапе двухэтапного процесса он загружает и выполняет второй этап, который включает в себя дополнительные функции. Вредоносное ПО извлекает второй этап у поставщика облачных хранилищ.

Используемая ссылка не является общедоступной и содержит маркер доступа для загрузки файла MyExecute с диска. Вредоносное ПО первой стадии загружает и устанавливает вредоносное ПО второй стадии в виде общесистемного демона. На диск записываются два файла:

  1. /Library/WebServer/share/httpd/manual/WindowServer: исполняемый файл Mach-O второго этапа, полученный с диска pCloud
  2. /Library/LaunchDaemons/.com.apple.WindowServer.plist: файл списка свойств, позволяющий вредоносному ПО сохраняться в виде общесистемного демона

Для изменения обоих каталогов требуются права суперпользователя. Таким образом, на данный момент злоумышленник уже имеет права администратора. Исследователи ESET заявили,

« CloudMensis представляет угрозу для пользователей Mac, но его очень ограниченное распространение предполагает, что оно используется как часть целевой операции. Из того, что мы видели, операторы этого семейства вредоносных программ развертывают CloudMensis для определенных целей, которые их интересуют. Использование уязвимостей для устранения недостатков macOS показывает, что операторы вредоносных программ активно пытаются максимизировать успех своих шпионских операций. В то же время в ходе нашего исследования не было обнаружено нераскрытых уязвимостей (нулевых дней), которые использовались этой группой. Таким образом, рекомендуется использовать обновленный Mac, чтобы избежать, по крайней мере, обхода мер по смягчению последствий.
Мы до сих пор не знаем, как изначально распространяется CloudMensis и кто является целью. Общее качество кода и отсутствие запутывания показывают, что авторы, возможно, не очень хорошо знакомы с разработкой для Mac и не настолько продвинуты. Тем не менее, было потрачено много ресурсов на то, чтобы сделать CloudMensis мощным шпионским инструментом и угрозой для потенциальных целей. »