Una nuova backdoor macOS sta facendo il giro della natura con attacchi mirati volti a rubare informazioni sensibili.
Backdoor di CloudMensis per macOS: Ciò che è noto finora
La porta sul retro, chiamato CloudMensis, utilizza esclusivamente servizi di archiviazione cloud pubblici per comunicare con gli attori delle minacce. Secondo i ricercatori ESET, il malware utilizza pCloud, Yandex Disk e Dropbox per ricevere comandi ed esfiltrare informazioni. I metodi utilizzati per diffondere la backdoor sono ancora sconosciuti, così come gli obiettivi specifici.
Sembra che il malware non sia così sofisticato, privo di sufficiente offuscamento. Tuttavia, gli autori del malware sono stati comunque in grado di creare "un potente strumento di spionaggio e una minaccia per potenziali bersagli".
La backdoor è in grado di ottenere l'esecuzione del codice e i diritti amministrativi su un sistema infetto, seguito dal payload del malware di prima fase. Il secondo carico utile ha più funzioni, in esecuzione da un servizio di archiviazione cloud ed essere in grado di emettere 39 comandi, come l'esfiltrazione di documenti, prendere screenshot, e rubare allegati di posta elettronica. Secondo i metadati, CloudMensis è stato rilasciato in natura a febbraio 4 2022.
Gli autori del malware hanno utilizzato alcune vulnerabilità di macOS su sistemi presi di mira, ma sembra che nessuno zero-day sia stato abusato. I computer Mac aziendali dovrebbero essere completamente aggiornati per evitare qualsiasi compromesso.
Un altro esempio di backdoor per Mac recentemente divulgato è SysJoker. Quando inizialmente scoperto, la multipiattaforma (anche per sistemi Linux e Windows) il malware non è stato rilevato da nessuno dei motori di sicurezza in VirusTotal, rendendolo estremamente pericoloso. SysJoker è stato scoperto dai ricercatori Intezer durante un attacco attivo a un server Web basato su Linux che appartiene a un importante istituto di istruzione.