Siber güvenlik araştırmacıları, Apple macOS işletim sistemini hedefleyen daha önce belgelenmemiş bir casus yazılımın örtüsünü kaldırdı.
Kod adı verilen kötü amaçlı yazılım BulutMensis Slovak siber güvenlik firması ESET’in saldırgan komutlarını almak ve dosyaları sızdırmak için yalnızca pCloud, Yandex Disk ve Dropbox gibi genel bulut depolama hizmetlerini kullandığı söyleniyor.
ESET araştırmacısı Marc-Etienne M.Léveillé bugün yayınlanan bir raporda, “Yetenekleri, operatörlerinin amacının belgeleri, tuş vuruşlarını ve ekran görüntülerini sızdırarak kurbanların Mac’lerinden bilgi toplamak olduğunu açıkça gösteriyor.” Dedi.
Objective-C ile yazılmış CloudMensis, ilk olarak Nisan 2022’de keşfedildi ve hem Intel hem de Apple silikon mimarilerini etkilemek üzere tasarlandı. Saldırılar ve hedefler için ilk enfeksiyon vektörü henüz bilinmiyor. Ancak çok sınırlı dağılımı, kötü amaçlı yazılımın ilgili kuruluşlara yönelik yüksek oranda hedeflenmiş bir operasyonun parçası olarak kullanıldığının bir göstergesidir.
ESET tarafından tespit edilen saldırı zinciri, pCloud’da barındırılan ve diğerlerinin yanı sıra belgeleri, ekran görüntülerini ve e-posta eklerini sızdıran ikinci aşama kötü amaçlı yazılımları getirmek ve yürütmek için kullanılan birinci aşama bir yükü başlatmak için kod yürütme ve yönetici ayrıcalıklarını kötüye kullanıyor. .
İlk aşama indiricinin, Safari sanal alandan kaçış ve 2017’de şu anda çözülmüş dört güvenlik açığından yararlanan ayrıcalık yükseltme istismarlarının izlerini sildiği de biliniyor ve bu, CloudMensis’in uzun yıllar radar altında uçmuş olabileceğini düşündürüyor.
İmplant ayrıca, Belgeler, İndirilenler, Masaüstü, iCloud Drive ve ağ birimlerindeki dosyalara erişmeden önce tüm uygulamaların kullanıcı izni almasını sağlamayı amaçlayan Şeffaflık, Rıza ve Kontrol (TCC) güvenlik çerçevesini atlayacak özelliklerle birlikte gelir.
Bunu, 2020’de ortaya çıkan ve CVE-2020-9934 olarak izlenen başka bir yama uygulanmış güvenlik açığından yararlanarak başarır. Arka kapı tarafından desteklenen diğer işlevler arasında çalışan işlemlerin listesini alma, ekran görüntülerini yakalama, çıkarılabilir depolama aygıtlarından dosyaları listeleme ve kabuğu çalıştırma yer alır. komutlar ve diğer keyfi yükler.
Bunun da ötesinde, bulut depolama altyapısından alınan meta verilerin analizi, pCloud hesaplarının 19 Ocak 2022’de oluşturulduğunu ve uzlaşmaların 4 Şubat’ta başlayıp Mart’ta zirveye ulaştığını gösteriyor.
M.Léveillé, “Kodların genel kalitesi ve karışıklık olmaması, yazarların Mac geliştirmeye pek aşina olmayabileceğini ve o kadar da ileri düzeyde olmadığını gösteriyor,” dedi. “Yine de CloudMensis’i güçlü bir casusluk aracı ve potansiyel hedefler için bir tehdit haline getirmek için çok fazla kaynak harcandı.”