-
Cette porte dérobée sur macOS, jusqu’alors inconnue, espionne les utilisateurs de Mac compromis.
-
ESET a nommé le malware CloudMensis car il utilise les mois de l’année comme noms de répertoire.
-
Ce malware macOS utilise le stockage Cloud comme canal de commande et de contrôle, via trois fournisseurs différents : pCloud, Yandex Disk et Dropbox.
-
CloudMensis possède 39 commandes, dont l’exfiltration de documents, des frappes au clavier et des captures d’écran…
-
Les métadonnées des services de stockage utilisés révèlent que le premier Mac a été compromis le 4 février 2022.
-
La diffusion très limitée de CloudMensis suggère qu’il est utilisé dans le cadre d’une opération ciblée.
La Femme (ESET) – Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert une porte dérobée macOS inconnue jusqu’alors, qui espionne les utilisateurs de Mac compromis et utilise exclusivement des services de stockage Cloud public pour communiquer avec ses opérateurs. Nommé CloudMensis par ESET, ses fonctionnalités montrent clairement que l’intention des opérateurs est de recueillir des informations à partir des Mac des victimes en exfiltrant des documents et les frappes au clavier, en listant les emails les pièces jointes, et les fichiers sur les stockages amovibles, et en effectuant des captures d’écran.
CloudMensis est une menace pour les utilisateurs de Mac, mais sa diffusion très limitée suggère qu’il est utilisé dans le cadre d’une campagne ciblée. D’après ce qu’ESET Research a constaté, les opérateurs de cette famille de malwares déploient CloudMensis sur des cibles spécifiques qui présentent un fort intérêt pour eux. L’utilisation de vulnérabilités pour contourner les mesures d’atténuation de macOS montre que les opérateurs du malware tentent activement de maximiser la réussite de leurs campagnes d’espionnage. D’après nos recherches, aucune vulnérabilité inconnue (zero day) n’est utilisée par ce groupe de pirates. Il est recommandé d’utiliser un Mac à jour pour éviter, au moins, que les mesures d’atténuation ne soient contournées.
« Nous ne savons toujours pas comment CloudMensis est initialement diffusé et qui sont les cibles. La qualité générale du code et le manque d’obfuscation montrent que les auteurs ne sont peut-être pas des développeurs expérimentés sur Mac et ne sont pas si avancés. Néanmoins, beaucoup de ressources ont été investies pour faire de CloudMensis un outil d’espionnage puissant et une menace pour les cibles potentielles, » explique Marc-Etienne Léveillé, chercheur chez ESET qui a analysé CloudMensis.
Une fois que CloudMensis a obtenu des privilèges administrateur et d’exécution de code, un premier malware est lancé pour récupérer un second module plus riche en fonctionnalités à partir d’un service de stockage dans le Cloud.
Cette seconde étape est un composant beaucoup plus important, doté d’un certain nombre de fonctionnalités permettant de collecter des informations sur le Mac compromis. L’intention des attaquants est ici clairement d’exfiltrer des documents, des captures d’écran, des pièces jointes d’emails et d’autres données sensibles. Au total, 39 commandes sont actuellement disponibles.
À propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.
Pour plus d’informations, consultez www.eset.com/na
et suivez-nous sur LinkedIn, Facebook et Instagram.