I ricercatori della società di sicurezza ESET hanno scoperto un nuovo tipo di malware noto come CloudMensis. Questo sfrutta i sistemi macOS per spiare gli utenti e rubare i loro dati privati, inclusi documenti, allegati e-mail e sequenze di tasti. Il malware può anche essere utilizzato per acquisire schermate sul dispositivo di una vittima.
CloudMensis esegue il backdoor dei dispositivi macOS per rubare dati
È stato riscontrato che il malware CloudMensis sfrutta pubblicamente disponibile provider di archiviazione cloud come DropBox, pCloud e Yandex Disk per infiltrarsi in un determinato sistema macOS e rubare i dati degli utenti. In un post su CloudMensis, ESET l'ha descritta come una "backdoor macOS precedentemente sconosciuta".
Poiché CloudMensis è in grado di aggirare il Transparency Consent and Control (TCC) di macOS di Apple, ha la capacità per visualizzare l'attività di un utente sul proprio dispositivo macOS in tempo reale ed estrarre i dati dal cloud storage programmi. Il lungo elenco di comandi di sorveglianza di CloudMensis consente inoltre di eseguire una serie di azioni sul dispositivo di una determinata vittima a sua insaputa o autorizzazione.
Questa capacità di aggirare il TCC macOS di Apple suggerisce che CloudMensis non è affatto un tipo di malware di base. Piuttosto, il suo livello di sofisticatezza è piuttosto preoccupante.
CloudMensis potrebbe prendere di mira dispositivi di alto valore
Sebbene CloudMensis sia stato ufficialmente scoperto nell'aprile 2022, il primo attacco registrato risale a due mesi prima, il 4 febbraio. Da allora ad aprile, solo 51 utenti sono caduti vittime di questo malware.
Sebbene possa sembrare sollevato dal fatto che un numero così piccolo di vittime sia stato finora colpito dal malware CloudMensis, ciò suggerisce che gli operatori stanno prendendo di mira utenti specifici per attaccare. Quindi, invece di diffondere il malware a qualsiasi computer che lo accetterà, è molto probabile che questi aggressori cercheranno individui che potrebbero avere qualcosa di prezioso da rubare.
Gli operatori CloudMensis sembrano non avere familiarità con macOS
Sebbene CloudMensis sia evidentemente uno dei più sofisticati ceppi di malware, sembra che i suoi operatori non siano esperti nei sistemi macOS. Sappiamo che la loro esperienza con la codifica Objective-C (un linguaggio utilizzato per i dispositivi supportati da OS X e iOS) sembra essere abbastanza semplice. Ma questo non significa che CloudMensis non rappresenti ancora un rischio per gli utenti macOS.
CloudMensis continua a essere una minaccia
Sebbene ESET abbia segnalato che al momento della scrittura non sono stati registrati exploit zero-day utilizzando CloudMensis, questo malware rappresenta ancora una seria minaccia per gli utenti di macOS.
ESET sta ancora lavorando per determinare come viene inizialmente diffuso questo malware e perché alcuni utenti vengono presi di mira, il che significa che potrebbero verificarsi più attacchi in futuro. Agli utenti è stato consigliato di mantenere aggiornato il software macOS per massimizzare i livelli di sicurezza dei propri dispositivi.