Статьи

Дослідження ESET: нова загроза для Mac шпигує за користувачами

20 июля, 2022. 08:07 За матеріалами ESET
Теги: #ESET
Компанія ESET ― лідер у галузі інформаційної безпеки ― повідомляє про виявлення бекдора CloudMensis, який шпигує за користувачами інфікованих пристроїв Mac тавикористовує загальнодоступні сервіси хмарних сховищ для обміну даними зі зловмисниками. Загроза для Mac може викрадати документи, записувати натискання клавіш, робити знімки екрана, отримувати доступ до листів та вкладень електронної пошти, а також файлів зі змінних носіїв.

Обмежене поширення шкідливої програми свідчить про використання у цілеспрямованих атаках. Згідно з дослідженням ESET, зловмисники розгортають CloudMensis на пристроях певних цілей, які становлять інтерес для хакерів. Використовуючи уразливості для обходу захисту Mac, кіберзлочинці активно намагаються здійснювати шпигунські дії. При цьому використання зловмисниками «0-денних» уразливостей виявлено не було. Тому варто регулярно оновлювати пристрої Mac, щоб мінімізувати ризик отримання доступу хакерів до важливих файлів.

«Наразі спосіб розповсюдження та основні цілі загрози невідомі. Загальна якість коду та відсутність методів заплутування показують, що зловмисники, ймовірно, недостатньо глибоко обізнані з особливостями розробки програм для Mac. Незважаючи на це, було витрачено багато ресурсів, щоб зробити CloudMensis потужним шпигунським інструментом та небезпечною загрозою для Mac», — пояснює Марк-Етьєн Левейє, дослідник компанії ESET.

Щойно CloudMensis виконує код та отримує адміністративні привілеї, запускається перше шкідливе програмне забезпечення, яке отримує більше функцій на другому етапі розгортання із сервісу хмарного сховища.

На цьому етапі шкідливий компонент має розширені можливості для збору інформації з інфікованого пристрою Mac. Ціль зловмисників полягає в отриманні документів, знімків екрана, вкладень електронної пошти та інших конфіденційних даних. Загалом наразі доступно 39 команд.

CloudMensis використовує хмарне сховище як для отримання команд від зловмисників, так і для перехоплення файлів. Зокрема загроза для Mac підтримує трьох різних провайдерів: pCloud, Yandex Disk та Dropbox. Конфігурація, яка міститься у проаналізованому зразку шкідливої програми, має токени автентифікації для pCloud та Yandex Disk.

Крім цього, відповідно до метаданих хмарних сервісів, перші команди були надіслані загрозі 04 лютого 2022 року.

Варто зазначити, що нещодавно компанія Apple визнала наявність шпигунського програмного забезпечення, націленого на користувачів її продуктів. У зв’язку з цим було представлено режим блокування на пристроях iOS, iPadOS та macOS, який вимикає функції, що зазвичай використовуються для виконання та розгортання шкідливого коду.

Материалы по теме:
Комментарии: