Siber güvenlik araştırmacıları, Apple macOS işletim sistemini hedefleyen daha önce belgelenmemiş bir casus yazılımın örtüsünü kaldırdı.
Kod adı verilen kötü amaçlı yazılım BulutMensis Slovak siber güvenlik firması ESET’in saldırgan komutlarını almak ve dosyaları sızdırmak için yalnızca pCloud, Yandex Disk ve Dropbox gibi genel bulut depolama hizmetlerini kullandığı söyleniyor.
ESET araştırmacısı Marc-Etienne M.Léveillé, “Yetenekleri, operatörlerinin amacının belgeleri, tuş vuruşlarını ve ekran görüntülerini sızdırarak kurbanların Mac’lerinden bilgi toplamak olduğunu açıkça gösteriyor.” söz konusu bugün yayınlanan bir raporda
Objective-C ile yazılmış CloudMensis, ilk olarak Nisan 2022’de keşfedildi ve hem Intel hem de Apple silikon mimarilerini etkilemek üzere tasarlandı. Saldırılar ve hedefler için ilk enfeksiyon vektörü henüz bilinmiyor. Ancak çok sınırlı dağılımı, kötü amaçlı yazılımın ilgili kuruluşlara yönelik yüksek oranda hedeflenmiş bir operasyonun parçası olarak kullanıldığının bir göstergesidir.
ESET tarafından tespit edilen saldırı zinciri, pCloud’da barındırılan ve diğerlerinin yanı sıra belgeleri, ekran görüntülerini ve e-posta eklerini sızdıran ikinci aşama kötü amaçlı yazılımları getirmek ve yürütmek için kullanılan birinci aşama bir yükü başlatmak için kod yürütme ve yönetici ayrıcalıklarını kötüye kullanıyor. .
İlk aşama indiricinin, Safari korumalı alandan kaçış izlerini ve aşağıdakileri kullanan ayrıcalık yükseltme istismarlarını sildiği de bilinmektedir. şimdi çözülmüş dört güvenlik açığı 2017’de, CloudMensis’in uzun yıllar radarın altında uçmuş olabileceğini düşündürdü.
İmplant ayrıca Şeffaflık, Onay ve Kontrolü atlayacak özelliklerle birlikte gelir (TCC) Belgeler, İndirilenler, Masaüstü, iCloud Drive ve ağ birimlerindeki dosyalara erişmeden önce tüm uygulamaların kullanıcı izni almasını sağlamayı amaçlayan güvenlik çerçevesi.
Bunu, 2020’de ortaya çıkan ve CVE-2020-9934 olarak izlenen başka bir yama uygulanmış güvenlik açığından yararlanarak başarır. Arka kapı tarafından desteklenen diğer işlevler arasında çalışan işlemlerin listesini alma, ekran görüntülerini yakalama, çıkarılabilir depolama aygıtlarından dosyaları listeleme ve kabuğu çalıştırma yer alır. komutlar ve diğer keyfi yükler.
Bunun da ötesinde, bulut depolama altyapısından alınan meta verilerin analizi, pCloud hesaplarının 19 Ocak 2022’de oluşturulduğunu ve uzlaşmaların 4 Şubat’ta başlayıp Mart’ta zirveye ulaştığını gösteriyor.
M.Léveillé, “Kodların genel kalitesi ve karışıklık olmaması, yazarların Mac geliştirmeye pek aşina olmayabileceğini ve o kadar da ileri düzeyde olmadığını gösteriyor,” dedi. “Yine de CloudMensis’i güçlü bir casusluk aracı ve potansiyel hedefler için bir tehdit haline getirmek için çok fazla kaynak harcandı.”
