Вредонос с облачным управлением CloudMensis крадёт данные с компьютеров под управлением macOS

Специалисты компании ESET, работающей в сфере информационной безопасности, обнаружили ранее неизвестное вредоносное программное обеспечение CloudMensis, предназначенное для атак на компьютеры с macOS. Главная особенность вредоноса в том, что он использует pCloud, Dropbox и «Яндекс.Диск» в роли управляющих серверов.

Источник изображения: Pete Linforth / pixabay.com

Согласно имеющимся данным, CloudMensis написан на языке Objective-C. Специалисты установили, что на начальном этапе злоумышленникам необходимо повысить уровень прав в атакуемой системе, для чего используются известные уязвимости. Далее на скомпрометированную систему устанавливается загрузчик, который скачивает компоненты вредоносного ПО из облачного хранилища.

После установки CloudMensis злоумышленники могут выполнять различные действия на устройстве жертвы, включая сбор конфиденциальной информации, перехват нажатий клавиш, а также установку другого вредоносного ПО. Все собранные данные перед отправкой в облачное пространство шифруются с помощью открытого ключа, который был обнаружен в самом вредоносе. Для расшифровки требуется закрытый ключ, находящийся у операторов CloudMensis.

Наиболее примечательным отличием вредоноса, помимо того, что шпионское ПО для macOS является редкостью, является то, что его авторы используют облачные хранилища в качестве серверов управления. Такой подход позволил злоумышленникам убрать из кода CloudMensis доменные имена и IP-адреса, что затрудняет отслеживание деятельности вредоноса и его блокировку на сетевом уровне. Отмечается, что ранее аналогичную тактику использовали разные хакерские группировки, включая Inception (Cloud Atlas) и APT37 (Reaper или Group 123).