Alerta Apple: este malware visa especificamente computadores macOS

Rui Bacelar
Comentar

O alerta foi dado pelos investigadores da ESET, empresa europeia líder em soluções de cibersegurança que descobriu um malware de Apple macOS previamente desconhecido. O pior de tudo? Este software malicioso (malware) espia utilizadores de Mac comprometidos e usa exclusivamente serviços de armazenamento na nuvem pública para comunicar com os seus operadores sem ser (tão) notado.

A nova ameaça para os computadores Apple foi apelidada CloudMensis pela entidade supracitada. Ademais, as suas capacidades mostram que a intenção dos operadores é reunir informação sobre os Macs das vítimas. Na prática roubando documentos, teclas, emails, anexos, ficheiros em armazenamento externo e capturas de ecrã.

CloudMensis é a nova ameaça para os computadores macOS da Apple

CloudMensis

O CloudMensis é uma ameaça para utilizadores de Mac da Apple, mas a sua distribuição limitada sugere que é usado como parte de uma operação seletiva. De acordo com a investigação da ESET, os operadores deste malware implementam-no em alvos específicos nos quais estão interessados.

A exploração de vulnerabilidades para contornar mitigações de segurança do macOS mostram que os operadores do CloudMensis tentam ativamente maximizar o sucesso da sua campanha de espionagem. No entanto, a empresa não detetou nenhuma vulnerabilidade zero-day a ser usada pelo grupo.

Desse modo, a entidade de cibersegurança recomenda que os utilizadores de Mac atualizem os seus sistemas. Isto de forma a pelo menos evitar os bypasses de mitigações de segurança.

Atualizar o sistema é a melhor forma de proteger os Mac

#ESETresearch uncovers #CloudMensis, spyware for macOS using cloud storage as a way to communicate back and forth its operators. @marc_etienne_ https://t.co/OQa47rEoUG 1/7

— ESET research (@ESETresearch) 19 de julho de 2022

“Continuamos a não saber como é que o CloudMensis é inicialmente distribuído e quem são os alvos. A qualidade geral do código e falta de ofuscação mostra que os autores podem não estar muito familiarizados com o desenvolvimento para macOS e não são muito avançados. No entanto, foram investidos muitos recursos para tornar o CloudMensis numa poderosa ferramenta de espionagem e uma ameaça para os potenciais alvos.” Explica o investigador da ESET Marc-Etienne Léveillé.

A partir do momento em que o CloudMensis obtém privilégios de execução de código e administração, corre um malware de primeira fase que vai buscar a segunda fase a partir de um serviço de armazenamento na nuvem. Esta segunda fase consiste num componente muito maior. É repleto de funcionalidades para recolher informação do Mac comprometido.

A intenção dos atacantes aqui é claramente roubar documentos. Desde anexos de email, capturas de ecrã e outros dados sensíveis. No total, existem 39 comandos disponíveis.

O malware recolhe o máximo de informação presente nos computadores macOS

We’ve analysed two #CloudMensis stages, the first download and runs the featureful spy agent. Both uses cloud storage using an authentication token. 2/7 pic.twitter.com/kBZvY4P91Y

— ESET research (@ESETresearch) 19 de julho de 2022

O CloudMensis usa armazenamento na nuvem tanto para receber comandos dos seus operadores como para roubar ficheiros. Assim sendo, tem três fornecedores diferentes: pCloud, Yandex Disk e Dropbox.

A configuração incluída na amostra analisada contém códigos e autenticação para pCloud e Yandex Disk. Os metadados destes serviços revelaram detalhes interessantes sobre a operação. Aqui incluindo que os comandos começaram a ser transmitidos para os bots a 4 de fevereiro de 2022.

Por fim, a Apple reconheceu recentemente a presença de spyware direcionado aos utilizadores dos seus produtos. Nesse sentido, anunciou o Lockdown Mode em iOS, iPadOS e macOS, que desativa funcionalidades frequentemente exploradas para ganhar acesso a execução de código e implementação de malware.

Editores 4gnews recomendam:

Rui Bacelar
Rui Bacelar
Na escrita e comunicação repousa o gosto, nas leis a formação. Ocupa-se com as novidades de tecnologia na 4gnews. Email: ruifbacelar@gmail.com