Ricercatori di cybersicurezza hanno scoperto uno spyware precedentemente non documentato che colpisce il sistema operativo Apple macOS.
Il malware, il cui nome in codice è CloudMensis e che è stato scoperto dalla società di cybersicurezza slovacca ESET, si dice che utilizzi esclusivamente servizi di archiviazione cloud pubblici come pCloud, Yandex Disk e Dropbox per ricevere i comandi degli aggressori ed esfiltrare i file. “Le sue capacità mostrano chiaramente che l’intento dei suoi operatori è quello di raccogliere informazioni dai Mac delle vittime attraverso l’esfiltrazione di documenti, sequenze di tasti e catture di schermate“, ha dichiarato il ricercatore ESET Marc-Etienne M.Léveillé in un rapporto.
CloudMensis, scritto in Objective-C, è stato scoperto per la prima volta nell’aprile 2022 ed è stato progettato per colpire sia le architetture di silicio Intel che Apple. Il vettore di infezione iniziale per gli attacchi e gli obiettivi rimangono ancora sconosciuti. Ma la sua distribuzione molto limitata indica che il malware viene utilizzato come parte di un’operazione altamente mirata diretta contro entità di interesse.
La catena di attacco individuata da ESET abusa dell’esecuzione di codice e dei privilegi amministrativi per lanciare un payload di primo livello che viene utilizzato per recuperare ed eseguire un malware di secondo livello ospitato su pCloud che, a sua volta, esfiltrerà documenti, screenshot e allegati e-mail, tra gli altri. Il downloader di primo livello è anche noto per cancellare le tracce di exploit di evasione della sandbox di Safari e di escalation dei privilegi che sfruttano quattro falle di sicurezza ora risolte nel 2017, il che suggerisce che CloudMensis potrebbe essere passato sottotraccia per molti anni.
L’impianto è dotato anche di funzioni per aggirare il framework di sicurezza Transparency, Consent, and Control (TCC), che mira a garantire che tutte le app ottengano il consenso dell’utente prima di accedere ai file in Documenti, Download, Desktop, iCloud Drive e volumi di rete. La backdoor sfrutta un’altra vulnerabilità di sicurezza patchata, denominata CVE-2020-9934, emersa nel 2020. Altre funzioni supportate dalla backdoor includono l’ottenimento dell’elenco dei processi in esecuzione, l’acquisizione di screenshot, l’elenco dei file dai dispositivi di archiviazione rimovibili e l’esecuzione di comandi di shell e altri payload arbitrari.
Inoltre, l’analisi dei metadati dell’infrastruttura di archiviazione cloud mostra che gli account pCloud sono stati creati il 19 gennaio 2022, mentre le compromissioni sono iniziate il 4 febbraio e hanno raggiunto il culmine a marzo. “La qualità generale del codice e la mancanza di offuscamento mostrano che gli autori potrebbero non avere molta familiarità con lo sviluppo di Mac e non sono così avanzati“, ha detto M.Léveillé. “Ciononostante sono state impiegate molte risorse per rendere CloudMensis un potente strumento di spionaggio e una minaccia per i potenziali obiettivi“.
