O alerta foi dado pelos investigadores da ESET, empresa europeia líder em soluções de cibersegurança que descobriu um malware de Apple macOS previamente desconhecido. O pior de tudo? Este software malicioso (malware) espia utilizadores de Mac comprometidos e usa exclusivamente serviços de armazenamento na nuvem pública para comunicar com os seus operadores sem ser (tão) notado.
A nova ameaça para os computadores Apple foi apelidada CloudMensis pela entidade supracitada. Ademais, as suas capacidades mostram que a intenção dos operadores é reunir informação sobre os Macs das vítimas. Na prática roubando documentos, teclas, emails, anexos, ficheiros em armazenamento externo e capturas de ecrã.
CloudMensis é a nova ameaça para os computadores macOS da Apple
O CloudMensis é uma ameaça para utilizadores de Mac da Apple, mas a sua distribuição limitada sugere que é usado como parte de uma operação seletiva. De acordo com a investigação da ESET, os operadores deste malware implementam-no em alvos específicos nos quais estão interessados.
A exploração de vulnerabilidades para contornar mitigações de segurança do macOS mostram que os operadores do CloudMensis tentam ativamente maximizar o sucesso da sua campanha de espionagem. No entanto, a empresa não detetou nenhuma vulnerabilidade zero-day a ser usada pelo grupo.
Desse modo, a entidade de cibersegurança recomenda que os utilizadores de Mac atualizem os seus sistemas. Isto de forma a pelo menos evitar os bypasses de mitigações de segurança.
Atualizar o sistema é a melhor forma de proteger os Mac
“Continuamos a não saber como é que o CloudMensis é inicialmente distribuído e quem são os alvos. A qualidade geral do código e falta de ofuscação mostra que os autores podem não estar muito familiarizados com o desenvolvimento para macOS e não são muito avançados. No entanto, foram investidos muitos recursos para tornar o CloudMensis numa poderosa ferramenta de espionagem e uma ameaça para os potenciais alvos.” Explica o investigador da ESET Marc-Etienne Léveillé.
A partir do momento em que o CloudMensis obtém privilégios de execução de código e administração, corre um malware de primeira fase que vai buscar a segunda fase a partir de um serviço de armazenamento na nuvem. Esta segunda fase consiste num componente muito maior. É repleto de funcionalidades para recolher informação do Mac comprometido.
A intenção dos atacantes aqui é claramente roubar documentos. Desde anexos de email, capturas de ecrã e outros dados sensíveis. No total, existem 39 comandos disponíveis.
O malware recolhe o máximo de informação presente nos computadores macOS
O CloudMensis usa armazenamento na nuvem tanto para receber comandos dos seus operadores como para roubar ficheiros. Assim sendo, tem três fornecedores diferentes: pCloud, Yandex Disk e Dropbox.
A configuração incluída na amostra analisada contém códigos e autenticação para pCloud e Yandex Disk. Os metadados destes serviços revelaram detalhes interessantes sobre a operação. Aqui incluindo que os comandos começaram a ser transmitidos para os bots a 4 de fevereiro de 2022.
Por fim, a Apple reconheceu recentemente a presença de spyware direcionado aos utilizadores dos seus produtos. Nesse sentido, anunciou o Lockdown Mode em iOS, iPadOS e macOS, que desativa funcionalidades frequentemente exploradas para ganhar acesso a execução de código e implementação de malware.
Editores 4gnews recomendam:
