Um malware recém-descoberto projetado para atingir Macs tem sido eficaz na obtenção de acesso a sistemas e roubo de dados confidenciais.
A descoberta foi detalhada pela empresa de segurança na Internet ESET, que nomeou o malware CloudMensis por causa de sua dependência de serviços de armazenamento em nuvem.
Conforme relatado pela Bleeping Computer e PCMag, o malware pode fazer capturas de tela do sistema de um usuário sem o seu conhecimento, além de registrar as teclas digitadas, obter arquivos e documentos (mesmo de dispositivos de armazenamento removíveis) e listar mensagens de e-mail e anexos.
O CloudMensis foi originalmente detectado pela ESET em abril de 2022. Ele usa pCloud, Yandex Disk e Dropbox para executar a comunicação de comando e controle (C2).
O malware é bastante avançado no sentido de que fornece a capacidade de executar vários comandos maliciosos, como visualizar processos em execução, “executar comandos de shell e fazer upload da saída para armazenamento em nuvem” e baixar e abrir arquivos arbitrários.
Embora o CloudMensis já tenha sido descoberto, a identidade dos responsáveis pelo ataque de malware permanece desconhecida.
“Ainda não sabemos como o CloudMensis é inicialmente distribuído e quem são os alvos”, disse o pesquisador da ESET, Marc-Etienne Léveillé. “A qualidade geral do código e a falta de ofuscação mostram que os autores podem não estar muito familiarizados com o desenvolvimento para Mac e não são tão avançados. No entanto, muitos recursos foram investidos para tornar o CloudMensis uma poderosa ferramenta de espionagem e uma ameaça a alvos em potencial.”
A análise da ESET revela que os agentes da ameaça conseguiram se infiltrar em seu primeiro alvo Mac em 4 de fevereiro de 2022. Curiosamente, o CloudMensis foi usado apenas algumas vezes para infectar um alvo. Além disso, as habilidades de codificação Objective-C dos hackers revelam que eles não são bem versados na plataforma MacOS, de acordo com a Bleeping Computer.
Quando a ESET examinou os endereços de armazenamento em nuvem aos quais o CloudMensis estava associado, os metadados correspondentes das unidades de nuvem revelaram que “houve no máximo 51 vítimas” de 4 de fevereiro a abril de 2022.
Uma vez que o malware é executado no sistema Mac, CloudMensis é capaz de escapar completamente do sistema MacOS Transparency Consent and Control (TCC) da Apple sem ser detectado. Esse recurso alerta os usuários para uma janela em que eles precisam conceder permissão específica para aplicativos que realizam capturas de tela ou monitoram eventos de teclado.
Ao evitar o TCC, o CloudMensis pode visualizar posteriormente as telas dos Macs e a atividade associada, bem como escanear dispositivos de armazenamento removíveis.
De qualquer forma, o malware é claramente mais sofisticado se puder contornar as próprias medidas de segurança do Mac com relativa facilidade. E não são apenas os Macs que estão expostos – o PCMag destaca como o código de computação do malware confirma que ele também pode se infiltrar em sistemas com tecnologia Intel.
“O CloudMensis é uma ameaça para usuários de Mac, mas sua distribuição muito limitada sugere que é usado como parte de uma operação direcionada”, disse a ESET. “Ao mesmo tempo, nenhuma vulnerabilidade não divulgada (zero-days) foi encontrada para ser usada por este grupo durante nossa pesquisa. Assim, é recomendável executar um Mac atualizado para evitar, pelo menos, os desvios de mitigação.”
Se você possui um Mac e deseja verificar se há vírus e malware, consulte nosso guia explicando como fazer isso.
Com informações de Digital Trends.
