ESET tyrėjai aptiko anksčiau nežinomą macOS „galinių durų“ (angl. backdoor) kenkėjišką programą, kuri šnipinėja užkrėstų Mac kompiuterių naudotojus, naudodama tik viešąsias debesų saugyklų paslaugas ryšių su atakos vykdytojais palaikymui. ESET kenkėją pavadino CloudMensis - jo tikslas yra rinkti Mac naudotojų kompiuterių duomenis, „ištraukiant“ informaciją iš dokumentų ir naršymo istorijos: el. pašto pranešimus ir jų priedus, ekrano kopijas bei failus iš keičiamos saugyklos.
CloudMensis kelia pavojų Mac naudotojams, tačiau labai ribotas šios grėsmės platinimas rodo, kad jis naudojamas tik tikslinėms atakoms. ESET tyrėjų įžvalgos rodo, jog šios kenkėjiškų programų šeimos vykdytojai CloudMensis diegia konkretiems, juos dominantiems taikiniams. Pažeidžiamumų naudojimas siekiant apeiti macOS apsaugos priemones rodo, kad programišiai aktyviai stengiasi maksimaliai padidinti savo šnipinėjimo veiklos sėkmę. Mūsų tyrimo metu nebuvo nustatyta jokių neatskleistų pažeidžiamumų (pavyzdžiui, nulinės dienos - angl. zero days), kuriais naudotųsi ši grupė. Taigi, rekomenduojama nuolat atnaujinti kompiuterio operacinę sistemą, norint išvengti ar bent jau sušvelninti galimas CloudMensis kenkėjo veiklos pasekmes.
„Vis dar nežinome, kaip CloudMensis platinamas ir kas yra jo taikiniai. Bendra kodo kokybė ir obfuskavimo trūkumas rodo, kad autoriai gali būti nelabai gerai susipažinę su Mac kompiuterių kūrimu ir nėra labai pažengę. Nepaisant to, buvo įdėta daug pastangų, kad CloudMensis taptų galingu šnipinėjimo įrankiu ir keltų grėsmę potencialiems taikiniams“, - aiškina kenkėją analizavęs ESET tyrėjas Marc-Etienne Léveillé.
Kai CloudMensis įgyja kodo vykdymo ir administravimo privilegijų, jis paleidžia pirmojo lygio kenkėjišką programinę įrangą, kuri iš debesų saugyklos įgauna funkcionalesnį antrąjį lygį.
Antrasis lygis - daug didesnis sudėtinis elementas, kuriame įdiegta daugybė funkcijų, skirtų informacijai iš pažeisto Mac rinkti. Akivaizdu, kad užpuolikai siekia išvilioti dokumentus, ekrano nuotraukas, el. laiškų priedus ir kitus slaptus duomenis. Šiuo metu iš viso yra galimos 39 komandos.
CloudMensis naudoja debesų saugyklą ir programišių komandų gavimui, ir failų trynimui. Grėsmė palaiko tris skirtingus paslaugų teikėjus: pCloud, Yandex Disk ir Dropbox. Į analizuojamą pavyzdį (žr. puslapio pabaigoje) įtrauktoje konfigūracijoje yra pCloud ir Yandex Disk autentiškumo patvirtinimo ženklai.
Naudotų debesų saugyklų metaduomenys atskleidžia įdomių detalių apie šią veiklą, pavyzdžiui, kad nuo 2022 m. vasario 4 d. ji pradėjo perduoti komandas botams.
Apple neseniai pripažino, kad į jos produktų naudotojus yra nukreipta šnipinėjimo programinė įranga, ir peržiūri iOS, iPadOS ir macOS Lockdown Mode režimą, kuris išjungia funkcijas, dažnai naudojamas kodo vykdymui ir kenkėjiškų programų diegimui.
Kaip „CloudMensis" naudoja debesų saugyklas
