CloudMensis много лет оставалось незамеченным
Шпионское программное обеспечение CloudMensis использует уязвимости Safari, обнаруженные и исправленные в 2017 году, при этом специалисты ESET только сейчас обнаружили вредоносную программу.
CloudMensis создан на языке Objective-C и представляет собой и шпионское ПО, и бэкдор. Вредонос 2 в 1 направлен на устройства с чипами Intel и Apple. Известно, что с февраля 2022 г. данное ПО было использовано для организации некоторых целевых атак.
Как описано выше, CloudMensis использует уязвимости Safari, обнаруженные и исправленные в 2017 году, что позволяет специалистам сделать вывод о том, что вредонос начал работать еще в далеком 2016 году, при этом ему годами удавалось быть незамеченным специалистами по информационной безопасности.
Работает CloudMensis следующим образом:
- Развертывается в два этапа после того, как хакер получает привилегии администратора;
- После развертывания на Mac вредоносная программа собирает документы, скриншоты и вложения электронной почты;
- Обходит систему TCC (Transparency, Consent and Control), которая уведомляет пользователя;
- Получает возможности кейлоггинга.
Стоит отметить, что вредонос принимает 39 команд, которые используются для выполнения shell-команд, а также загрузки и выполнения произвольных файлов. Хакеры крадут данные и контролируют шпионское ПО с помощью облачных сервисов, таких как pCloud, Yandex Disk и Dropbox.
Данный случай еще раз доказывает важность своевременной установки актуальных версий решений. Мы всегда предупреждаем Наших Клиентов о выходе критически важных обновлений решений, в случае необходимости или по предварительной договорённости мы самостоятельно устанавливаем все необходимые обновления решений Наших Партнеров, чтобы всегда быть на шаг впереди кибертеррористов.