ESET-tietoturvayrityksen tutkijat ovat löytäneet uudenlaisen haittaohjelman, joka tunnetaan nimellä CloudMensis. Tämä hyödyntää macOS-järjestelmiä vakoillakseen käyttäjiä ja varastaakseen heidän yksityisiä tietojaan, kuten asiakirjoja, sähköpostin liitteitä ja näppäinpainalluksia. Haittaohjelmalla voidaan myös ottaa kuvakaappauksia uhrin laitteelle.

CloudMensis takaovet macOS-laitteet varastamaan tietoja

CloudMensis-haittaohjelman on havaittu hyödyntävän julkisesti saatavilla olevia pilvitallennuspalvelujen tarjoajat, kuten DropBox, pCloud ja Yandex Disk soluttautuakseen tiettyyn macOS-järjestelmään ja varastaakseen käyttäjätietoja. Jonkin sisällä viesti CloudMensisistä, ESET kuvaili sitä "aiemmin tuntemattomaksi macOS-takaoveksi".

Koska CloudMensis voi ohittaa Applen macOS Transparency Consent and Controlin (TCC), sillä on kyky tarkastella käyttäjän toimintaa hänen macOS-laitteellaan reaaliajassa ja poimia tietoja pilvitallennustilasta ohjelmia. CloudMensiksen pitkä luettelo valvontakomentoista antaa sen myös suorittaa erilaisia ​​toimintoja tietyn uhrin laitteella ilman heidän lupaansa tai tietämättään.

Tämä kyky ohittaa Applen macOS TCC viittaa siihen, että CloudMensis ei ole suinkaan perustyyppinen haittaohjelma. Pikemminkin sen kehittyneisyys on varsin huolestuttavaa.

CloudMensis voi kohdistaa arvokkaisiin laitteisiin

Vaikka CloudMensis löydettiin virallisesti huhtikuussa 2022, ensimmäinen tallennettu hyökkäys ulottuu kahteen kuukauteen, eli helmikuun 4. päivään. Huhtikuun välisenä aikana vain 51 käyttäjää on joutunut tämän haittaohjelman uhriksi.

Vaikka saattaa kuulostaa helpottavalta, että CloudMensis-haittaohjelmat ovat tähän mennessä vaikuttaneet niin pieneen määrään uhreja, tämä viittaa siihen, että operaattorit kohdistavat hyökkäyksen tiettyihin käyttäjiin. Joten sen sijaan, että levittäisivät haittaohjelman mille tahansa tietokoneelle, joka hyväksyy sen, nämä hyökkääjät etsivät todennäköisesti henkilöitä, joilla voi olla jotain arvokasta varastaa.

CloudMensis-operaattorit näyttävät tuntemattomilta macOS: stä

Vaikka CloudMensis on ilmeisesti yksi kehittyneimmistä haittaohjelmien kantoja, näyttää siltä, ​​että sen operaattorit eivät ole perehtyneet macOS-järjestelmiin. Tiedämme tämän, koska heidän kokemuksensa Objective-C-koodauksesta (kieli, jota käytetään OS X- ja iOS-tuetuissa laitteissa) näyttää olevan melko yksinkertainen. Tämä ei kuitenkaan tarkoita, etteikö CloudMensis olisi edelleen riski macOS-käyttäjille.

CloudMensis on edelleen uhka

Vaikka ESET on raportoinut, että CloudMensisin käyttämiä nollapäivän hyökkäyksiä ei ole tallennettu tätä kirjoitettaessa, tämä haittaohjelma muodostaa silti vakavan uhan macOS-käyttäjille.

ESET selvittää edelleen, kuinka tämä haittaohjelma alun perin leviää ja miksi tietyt käyttäjät joutuvat kohteeksi, mikä tarkoittaa, että hyökkäyksiä voi esiintyä lisää tulevaisuudessa. Käyttäjiä on kehotettu pitämään macOS-ohjelmistonsa ajan tasalla laitteidensa suojaustasojen maksimoimiseksi.