Шпионское ПО CloudMensis активно используется для кражи данных с компьютеров Mac

Вредоносное вредоносное ПО для Mac активно используется для сбора личных данных с компьютеров Mac. Исследователи безопасности говорят, что шпионское ПО CloudMensis может позволить злоумышленнику загружать файлы, перехватывать нажатия клавиш, делать скриншоты и многое другое.

Фирма по кибербезопасности ESET сообщает, что шпионское ПО активно используется с февраля и, по всей видимости, нацелено на конкретных людей…

Об этом сообщает Tom’s Guide.

В macOS был обнаружен ранее неизвестный бэкдор, который в настоящее время активно используется для слежки за пользователями взломанных компьютеров Mac.

Новое вредоносное ПО, впервые обнаруженное исследователями из компании по кибербезопасности ESET, получило название CloudMensis. Возможности CloudMensis показывают, что его создатели разработали его для сбора информации с компьютеров Mac жертв, а вредоносное ПО может извлекать документы и нажатия клавиш, перечислять сообщения электронной почты и вложения, перечислять файлы со съемных носителей и снимки экрана в соответствии с ESET.

Хотя CloudMensis, безусловно, представляет угрозу для пользователей Mac, его невероятно ограниченное распространение предполагает, что он предназначен для использования в рамках целевой операции. Судя по тому, что до сих пор наблюдали исследователи ESET, ответственные за это киберпреступники развертывают вредоносное ПО для конкретных пользователей, которые их интересуют.

«Мы до сих пор не знаем, как изначально распространяется CloudMensis и кто является целью. Общее качество кода и отсутствие обфускации показывают, что авторы могут быть не очень хорошо знакомы с разработкой для Mac и не настолько продвинуты. Тем не менее, много ресурсов было вложено в то, чтобы сделать CloudMensis мощным шпионским инструментом и угрозой для потенциальных целей».

Хотя вредоносное ПО обычно «звонит домой», чтобы получить команды и загрузить дополнительные компоненты вредоносного ПО, это обычно означает подключение к частному серверу, управляемому злоумышленником. CloudMensis необычен тем, что его можно запускать в облачных хранилищах.

После получения прав на выполнение кода и прав администратора на скомпрометированном Mac он запускает вредоносное ПО первой стадии, которое извлекает вторую стадию с дополнительными функциями из службы облачного хранилища, согласно ESET.

Второй этап — это гораздо более крупный компонент, в котором есть функции для сбора информации со взломанного Mac. Хотя в настоящее время доступно 39 команд, второй этап CloudMensis предназначен для извлечения документов, снимков экрана, вложений электронной почты и другой информации от жертв.

CloudMensis использует облачное хранилище как для получения команд от своих операторов, так и для извлечения файлов. На данный момент он поддерживает трех разных провайдеров: pCloud, Яндекс Диск и Dropbox.

Неясно, как вредоносное ПО может обойти защиту macOS, поскольку ESET заявляет, что оно не использует какие-либо нераскрытые уязвимости.

Взгляд на CloudMensis

Тот факт, что шпионское ПО, по-видимому, используется целенаправленно, означает, что большинству владельцев Mac не нужно беспокоиться о том, что они станут его жертвами. Тем не менее вызывает беспокойство тот факт, что CloudMensis может удаленно обходить меры безопасности в macOS, не используя уязвимость нулевого дня.

Всегда стоит соблюдать некоторые простые меры предосторожности в области кибербезопасности. В частности, никогда не открывайте вложения, которых вы не ожидаете, даже если они кажутся отправленными от известного контакта, и загружайте программное обеспечение только из Mac App Store или веб-сайтов разработчиков, которым вы доверяете.