| +11 голос |
|
Компанія Eset повідомляє про виявлення бекдора CloudMensis, який шпигує за користувачами інфікованих пристроїв Mac та використовує загальнодоступні сервіси хмарних сховищ для обміну даними зі зловмисниками. Загроза для Mac може викрадати документи, записувати натискання клавіш, робити знімки екрана, отримувати доступ до листів та вкладень електронної пошти, а також файлів зі змінних носіїв.
Обмежене поширення шкідливої програми свідчить про використання у цілеспрямованих атаках. Згідно з дослідженням Eset, зловмисники розгортають CloudMensis на пристроях певних цілей, які становлять інтерес для хакерів. Використовуючи уразливості для обходу захисту Mac, кіберзлочинці активно намагаються здійснювати шпигунські дії. При цьому використання зловмисниками «0-денних» уразливостей виявлено не було. Тому варто регулярно оновлювати пристрої Mac, щоб мінімізувати ризик отримання доступу хакерів до важливих файлів.
«Наразі спосіб розповсюдження та основні цілі загрози невідомі. Загальна якість коду та відсутність методів заплутування показують, що зловмисники, ймовірно, недостатньо глибоко обізнані з особливостями розробки програм для Mac. Попри це, було витрачено багато ресурсів, щоб зробити CloudMensis потужним шпигунським інструментом та небезпечною загрозою для Mac», – пояснює Марк-Етьєн Левейє (Marc-Etienne M.Léveillé), дослідник компанії Eset.
Щойно CloudMensis виконує код та отримує адміністративні привілеї, запускається перше шкідливе програмне забезпечення, яке отримує більше функцій на другому етапі розгортання із сервісу хмарного сховища.
На цьому етапі шкідливий компонент має розширені можливості для збору інформації з інфікованого пристрою Mac. Ціль зловмисників полягає в отриманні документів, знімків екрана, вкладень електронної пошти та інших конфіденційних даних. Загалом наразі доступно 39 команд.
Використання хмарних сервісів загрозою CloudMensis для Mac
CloudMensis використовує хмарне сховище як для отримання команд від зловмисників, так і для перехоплення файлів. Зокрема загроза для Mac підтримує трьох різних провайдерів: pCloud, Yandex Disk та Dropbox. Конфігурація, яка міститься у проаналізованому зразку шкідливої програми, має токени автентифікації для pCloud та Yandex Disk.
Крім цього, відповідно до метаданих хмарних сервісів, перші команди були надіслані загрозі 04 лютого.
Варто зазначити, що нещодавно компанія Apple визнала наявність шпигунського програмного забезпечення, націленого на користувачів її продуктів. У зв’язку з цим було представлено режим блокування на пристроях iOS, iPadOS та macOS, який вимикає функції, що зазвичай використовуються для виконання та розгортання шкідливого коду.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| +11 голос |
|
