I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno scoperto una backdoor macOS, precedentemente sconosciuta, che spia gli utenti di Mac compromessi e utilizza esclusivamente servizi di archiviazione cloud pubblici per comunicare con i suoi operatori. Il malware, denominato CloudMensis da ESET perché usa i nomi dei mesi per classificare le directory, ha funzionalità che mostrano chiaramente l’intento degli hacker ovvero la raccolta di informazioni dai Mac delle vittime attraverso l’esfiltrazione di documenti e sequenze di tasti, l’elencazione di messaggi e-mail e allegati, di file presenti in archivi rimovibili e immagini di schermate.
CloudMensis è una minaccia per gli utenti Mac, ma la sua distribuzione molto limitata suggerisce che sia utilizzato come parte di un’operazione mirata. Secondo quanto rilevato da ESET Research, gli operatori di questa famiglia di malware distribuiscono CloudMensis su obiettivi specifici di loro interesse. L’uso di vulnerabilità per aggirare le mitigazioni di macOS dimostra che gli hacker cercano attivamente di massimizzare il successo delle loro operazioni di spionaggio. Allo stesso tempo, nel corso della ricerca non sono state rilevate vulnerabilità zero day utilizzate da questo gruppo. Pertanto, è consigliabile l’utilizzo di Mac aggiornati per evitare almeno eventuali elusioni della protezione.
“Non sappiamo ancora come CloudMensis sia stato distribuito inizialmente e quali siano gli obiettivi. La qualità generale del codice e la mancanza di offuscamento mostrano che gli autori potrebbero non avere molta familiarità con lo sviluppo di Mac e non siano così esperti. Ciononostante, sono state impiegate molte risorse per rendere CloudMensis un potente strumento di spionaggio e una minaccia per i potenziali obiettivi”, spiega Marc-Etienne Léveillé, ricercatore ESET che ha analizzato CloudMensis.
Una volta ottenuta l’esecuzione del codice e i privilegi amministrativi, CloudMensis esegue un primo stadio del malware che apre le porte a un secondo livello più ricco di funzionalità tramite un servizio di cloud storage.
Questo secondo stadio è un componente molto più corposo, dotato di una serie di funzioni capaci di raccogliere informazioni dal Mac compromesso. L’intento degli aggressori è chiaramente quello di esfiltrare documenti, screenshot, allegati e-mail e altri dati sensibili. Complessivamente, sono stati individuati 39 comandi.
CloudMensis utilizza il cloud storage sia per ricevere i comandi dai suoi operatori sia per esfiltrare i file. Supporta tre diversi provider: pCloud, Yandex Disk e Dropbox. La configurazione inclusa nel campione analizzato contiene token di autenticazione per pCloud e Yandex Disk.
I metadati dei servizi di cloud storage utilizzati rivelano dettagli interessanti sull’operazione, ad esempio che ha iniziato a trasmettere comandi ai bot a partire dal 4 febbraio 2022.
Apple ha recentemente riconosciuto la presenza di spyware che prendono di mira gli utenti dei suoi prodotti e sta presentando in anteprima la modalità Lockdown su iOS, iPadOS e macOS, che disabilita le funzioni spesso sfruttate per ottenere l’esecuzione di codice e distribuire malware.