Вредоносное ПО CloudMensis для Mac может делать снимки экрана и загружать файлы

Вредоносное ПО CloudMensis для Mac может делать снимки экрана и загружать файлы

По данным ESET, вредоносное ПО может сделать бэкдор на Mac и украсть данные из системы. Но похоже, что хакеры, стоящие за CloudMensis, распространяют его выборочно.

Фирма ESET, занимающаяся безопасностью, обнаружила новое вредоносное ПО для Mac, которое может тайно шпионить за компьютером пользователя, захватывая снимки экрана, нажатия клавиш и похищая файлы.

ESET обнаружил (вредоносное ПО для Mac в апреле и пришли к выводу, что хакеры, по-видимому, выборочно распространяют вредоносную программу, возможно, только среди нескольких жертв в неделю.

Охранная фирма называет угрозу «CloudMensis», потому что она использует приложения облачного хранилища от таких сервисов, как Dropbox, Yandex, Disk и pCloud, для загрузки дополнительных компонентов для запуска вредоносного ПО. «Он не использует общедоступную ссылку; он включает в себя токен доступа для загрузки файла MyExecute с диска (облачного хранилища)», — сказали в ESET.

Диски облачного хранилища также служат для хакера способом отправки разнообразных команд вредоносному ПО и получения украденных файлов. «Намерение злоумышленников здесь явно состоит в том, чтобы эксфильтровать документы, снимки экрана, вложения электронной почты и другие конфиденциальные данные», — добавили в ESET.

Большая загадка заключается в том, как CloudMensis заражает компьютеры Mac. ESET до сих пор не уверена, поэтому неясно, как пользователи могут защитить себя от угрозы. Каким-то образом хакеры также получают административные привилегии на целевых компьютерах Mac для изменения необходимых системных файлов.

Тем не менее, компания обнаружила в вредоносном ПО некоторый интересный компьютерный код, который показывает, что он был разработан для использования четырех уязвимостей в macOS, ранее исправленных в 2017 году. Это говорит о том, что CloudMensis «может существовать уже много лет», — заявила ESET.

Еще одна интересная особенность заключается в том, что CloudMensis был разработан для кражи файлов с расширениями.hwp и.hwpx, которые являются файлами для южнокорейского программного обеспечения Hancom Office. Вычислительный код вредоносной программы также показывает, что она способна атаковать системы на базе Intel.

Кроме того, ESET посмотрела по адресам облачных хранилищ, с которыми общается CloudMensis. Метаданные с облачных дисков показывают, что «была не более 51 жертвы» для конкретной конфигурации вредоносного ПО в период с 4 февраля по 22 апреля.

«CloudMensis представляет угрозу для пользователей Mac, но его очень ограниченное распространение предполагает, что он используется как часть целевой операции», — заявили в ESET. «При этом нераскрытых уязвимостей (нулевых дней) использования этой группой в ходе нашего исследования выявлено не было. Таким образом, рекомендуется использовать новейший Mac, чтобы избежать, по крайней мере, обхода смягчения последствий».