איום חדש למשתמשי Mac: ה-CloudMensis מרגלת אחריהם כחלק ממתקפה ממוקדת
מאת:
מערכת Telecom News, 24.7.22, 15:47
נחשפה דלת אחורית חדשה ב-macOS שמאפשרת לרגל אחרי משתמשים במחשבי Mac שנדבקו בנוזקה. היא יכולה לבצע 39 פקודות, ביניהן הדלפת מסמכים, הקשות מקלדת וצילומי מסך ממחשבי Mac שנדבקו.
חוקרי חברת אבטחת המידע
ESET חשפו דלת אחורית חדשה ב-
macOS, שמאפשרת לרגל אחרי משתמשים במחשבי
Mac, שנדבקו בנוזקה, ומשתמשת באופן בלעדי בשירותי אחסון בענן כדי לתקשר עם המפעילים שלה ומשתמשת בשמות החודשים כשמות לתיקיות. לכן, החוקרים כינו אותה בשם
CloudMensis.
יכולותיה של הנוזקה, מראות בבירור, שמטרת התוקפים היא לאסוף מידע ממחשבי הקורבנות באמצעות הדלפת מסמכים והקשות מקלדת, רישומים של הודעות דוא״ל וקבצים שמצורפים להן, רישומים של קבצים שנמצאים באחסונים נשלפים, וצילומי מסך.
CloudMensis היא איום למשתמשי
Mac, אך התפוצה המוגבלת מאוד שלה מצביעה על כך, שככל הנראה, היא שימשה כחלק מפעולה ממוקדת על מטרות ספציפיות. על פי הנתונים שנצפו, מפעילי הנוזקה שולחים את
CloudMensis למטרות ספציפיות המעניינות אותם.
השימוש בפרצות כדי לעקוף את ההגבלות של
macOS מראה, שמפעילי הנוזקה מנסים להביא להצלחה מרבית של פעולות הריגול שלהם באופן אקטיבי. עם זאת, במהלך המחקר לא נמצאו פרצות לא ידועות (פרצות יום-אפס), שבהן השתמשה הקבוצה. לכן, מומלץ להשתמש בגרסה מעודכנת של
macOS כדי להימנע מהמעקפים של אמצעי האבטחה המובנים בהם השתמשו התוקפים.
לאחר ש-
CloudMensis מקבלת את ההרשאה להריץ קוד ואת הרשאות מנהל המערכת, היא מפעילה נוזקה ראשונית, שמורידה ומתקינה נוזקה שנייה, עוצמתית יותר, משירות אחסון בענן.
השלב השני הזה הוא מרכיב גדול בהרבה, שמכיל מספר אפשרויות לאיסוף מידע מהמחשב שנפרץ. ברור, שמטרתם של התוקפים היא ריגול: הדלפת מסמכים, צילומי מסך, קבצים מצורפים להודעות דוא״ל ומידע רגיש אחר. נכון לעכשיו, ישנן 39 פקודות, שהנוזקה מסוגלת לבצע.
CloudMensis משתמשת באחסון בענן גם כדי לקבל פקודות מהמפעילים שלה וגם כדי להדליף את הקבצים. היא תומכת ב- 3ספקי שירותי ענן שונים:
pCloud,
Yandex Disk ו-
Dropbox. ההגדרות שבדוגמה שנותחה כוללות טוקנים (אסימונים) לאימות עבור
pCloud ו-
Yandex Disk.
הנתונים הנלווים (
Metadata) משירותי האחסון בענן בהן הנוזקה השתמשה חושפים פרטים מעניינים אודות הפעילות, למשל - הנוזקה התחילה להעביר פקודות לבוטים מה-4.2.22.
אפל הכירה לאחרונה בקיומה של הרוגלה שמופנית למשתמשים במוצריה ומציגה את
Lockdown Mode ל-
iOS,
iPadOS ו-
macOS, שמכבה אפשרויות במערכת ההפעלה שמנוצלות בדרך כלל כדי להריץ קוד ולהפעיל נוזקות.
מארק-אטיין לווייה, חוקר
ESET, שניתח את
CloudMensis: ״אנו עדיין לא יודעים כיצד
CloudMensis הופצה בהתחלה ומי המטרות שלה. האיכות הכללית של הקוד בנוזקה והיעדר החשאיות מראה, שככל הנראה, יוצרי הנוזקה אינם מנוסים בפיתוח תוכנות ל-
Mac ואינם מתוחכמים כל כך. עם זאת, משאבים רבים הושקעו במאמץ להפוך את
CloudMensis לכלי ריגול עוצמתי ולאיום עבור המטרות הפוטנציאליות שלה״.