Yeni keşfedilen bir macOS kötü amaçlı yazılımı casusluk yapıyor (yeni sekmede açılır) ve komuta ve kontrol (C2) sunucusu olarak genel bulutu kullanma.
ESET araştırmacılarına göre, kampanyanın amacı, hedeflerden mümkün olduğunca fazla veri sızdırmak. Buna belgeler, e-posta mesajları ve ekleri ile çıkarılabilir depolama birimindeki dosya listeleri dahildir. Dahası, casus yazılım tuş vuruşlarını günlüğe kaydetme ve ekran görüntüleri alma yeteneğine sahiptir.
CloudMensis olarak adlandırılan ESET ekibi, nispeten sınırlı dağılımının yaygın bir saldırıdan ziyade hedefli bir operasyon önerdiğini de sözlerine ekledi. Kimlikleri henüz bilinmeyen saldırganlar, kampanyaları için herhangi bir sıfırıncı gün güvenlik açığından yararlanmadılar ve bu da araştırmacıların, uç noktaları olan macOS kullanıcılarının şu sonuca varmasına neden oldu. (yeni sekmede açılır) güncel, güvenli olmalıdır.
“CloudMensis’in başlangıçta nasıl dağıtıldığını ve hedeflerin kim olduğunu hala bilmiyoruz. Kodun genel kalitesi ve karışıklığın olmaması, yazarların Mac geliştirmeye pek aşina olmayabileceğini ve çok ileri düzeyde olmadığını gösteriyor. Yine de CloudMensis’i güçlü bir casusluk aracı ve potansiyel hedefler için bir tehdit haline getirmek için çok fazla kaynak harcandı,” diye açıklıyor ESET araştırmacısı Marc-Etienne Léveillé.
Araştırmacılar, CloudMensis’in çok aşamalı bir kampanya olduğunu ekledi. İlk olarak, kötü amaçlı yazılım, yönetici ayrıcalıklarının yanı sıra kod yürütme yeteneğini de arayacaktır. Bundan sonra, bulut depolamadan daha güçlü bir ikinci aşama kötü amaçlı yazılım çekecek bir damlalık çalıştıracaktı.
Toplamda, ikinci aşama kötü amaçlı yazılım, veri hırsızlığı, ekran görüntüsü alma ve benzeri dahil olmak üzere 39 komuta sahiptir.
Saldırganlar kötü amaçlı yazılımla iletişim kurmak için üç farklı genel bulut sağlayıcısı kullanıyor: pCloud, Yandex Disk ve Dropbox. Kampanya Şubat 2022’nin başlarında başladı.
ESET’e göre Apple, kullanıcılarını hedefleyen casus yazılımların varlığını kabul etti ve iOS, iPadOS ve macOS için Kilitleme Modu şeklinde hafifletme önlemleri hazırlıyor. Bu araç, hedef uç noktada kod yürütme ayrıcalıkları elde etmek için genellikle tehdit aktörlerinin yararlandığı özellikleri devre dışı bırakır.