• ESET-onderzoekers ontdekten een nog onbekende macOS-achterdeur die gebruikers van gecompromitteerde Macs bespioneerde.
• ESET noemde de malware CloudMensis omdat het cloudopslagservices gebruikt om met de operatoren te communiceren en de namen van maanden als directorynamen gebruikt.
• Deze macOS-malware gebruikt cloudopslag als Command and Control-kanaal en ondersteunt drie verschillende providers: pCloud, Yandex Disk en Dropbox.
• CloudMensis kan, vanaf gecompromitteerde Macs, 39 opdrachten geven waaronder het exfiltreren van documenten, toetsaanslagen en schermafbeeldingen.
• Uit metadata van de gebruikte cloudopslagdiensten blijkt dat de eerste Mac al op 4 februari 2022 werd gecompromitteerd..
• De zeer beperkte verspreiding van CloudMensis suggereert dat het als onderdeel van een gerichte operatie gebruikt wordt.
BRATISLAVA, MONTREAL, 19 juli 2022 — ESET-onderzoekers ontdekten een voorheen onbekende macOS-achterdeur die gebruikers van gecompromitteerde Macs bespioneert en uitsluitend openbare cloudopslagservices gebruikt om te communiceren met de operatoren. Het werd door ESET CloudMensis genoemd en de bedoeling van zijn operatoren is duidelijk om informatie van de Macs van slachtoffers te verzamelen door documenten en toetsaanslagen te exfiltreren, mailberichten en bijlagen op te lijsten alsook bestanden van verwisselbare en schermafbeeldingen te maken.
Voor Mac-gebruikers is CloudMensis is een bedreiging, maar zijn zeer beperkte verspreiding suggereert dat het gebruikt wordt als onderdeel van een doelgerichte operatie. ESET Research zag dat de operatoren van deze malwarefamilie CloudMensis implementeren op specifieke doeleinden die voor hen van belang zijn. Het gebruik van kwetsbaarheden om macOS-beperkingen te omzeilen, laat zien dat de operatoren het succes van hun spionageactiviteiten actief proberen te maximaliseren. Tijdens het onderzoek zijn geen onbekende kwetsbaarheden (zero days) gevonden die door deze groep zouden gebruikt zijn. Het wordt dus aanbevolen een up-to-date Mac te gebruiken om zeker de minder aggresieve bypasses te omzeilen.
“We weten nog niet hoe CloudMensis initieel verspreid wordt en wie de doelwitten zijn. De algemene kwaliteit van de code en het gebrek aan verduistering toont aan dat de auteurs Mac-ontwikkeling misschien niet goed kennen en niet zo geavanceerd zijn. Nochtans zijn er veel inspanningen gedaan bij het ontwikkelen van CloudMensis tot een krachtige spionagetool en een bedreiging voor potentiële doelwitten”, aldus Marc-Etienne Léveillé, ESET-onderzoeker die CloudMensis analyseerde.
Zodra CloudMensis code-uitvoering en beheerdersrechten verkrijgt, voert het een eerste-fase malware uit die in een tweede fase meer functionele zaken uit een cloudopslagservice ophaalt.
Deze tweede fase is een veel groter component, boordevol functies om informatie van de gecompromitteerde Mac te verzamelen. De bedoeling van de aanvallers is hier duidelijk om documenten, screenshots, mailbijlagen en andere gevoelige gegevens te exfiltreren. In totaal zijn er momenteel 39 commando’s beschikbaar.
CloudMensis gebruikt cloudopslag zowel voor het ontvangen van opdrachten van zijn operatoren als voor het exfiltreren van bestanden. Het ondersteunt drie verschillende providers: pCloud, Yandex Disk en Dropbox. In het geanalyseerde voorbeeld bevat de configuratie authenticatietokens voor pCloud en Yandex Disk.
Metadata van de gebruikte cloudopslagdiensten onthullen interessante details over de operatiet die vanaf 4 februari 2022 commando’s naar de bots begon te verzenden.
Apple erkende onlangs de aanwezigheid van spyware gericht op gebruikers van zijn producten en geeft previews van de Lockdown-modus op iOS, iPadOS en macOS,. Deze schakelt functies uit die vaak misbruikt worden om code-uitvoering te verkrijgen en malware te implementeren.
Voor meer technische informatie over CloudMensis, lees blog “I see what you did there: a look at the CloudMensis macOS spyware” op WeLiveSecurity. Volg ook ESET Research op Twitter (ESET Research on Twitter) t voor het laatste nieuws van ESET Research.