Malware CloudMensis rouba dados de computadores com macOS

A empresa de segurança ESET descobriu um malware CloudMensis anteriormente desconhecido, projetado para atacar computadores macOS. A principal característica do malware é que ele usa pCloud, Dropbox e Yandex.Disk como servidores de controle.

Fonte da imagem: Pete Linforth / pixabay.com

CloudMensis é supostamente escrito em Objective-C. Especialistas descobriram que, no estágio inicial, os invasores precisam elevar o nível de direitos no sistema atacado, para o qual vulnerabilidades conhecidas são usadas. Em seguida, um bootloader é instalado no sistema comprometido, que baixa componentes de malware do armazenamento em nuvem.

Depois que o CloudMensis é instalado, os invasores podem realizar várias ações no dispositivo da vítima, incluindo coletar informações confidenciais, interceptar pressionamentos de tecla e instalar outros malwares. Todos os dados coletados são criptografados antes de serem enviados para a nuvem usando uma chave pública encontrada no próprio malware. A descriptografia requer uma chave privada mantida pelos operadores do CloudMensis.

A diferença mais notável do malware, além do fato de o spyware do macOS ser raro, é que seus autores usam armazenamento em nuvem como servidores de controle. Essa abordagem permitiu que os invasores removessem nomes de domínio e endereços IP do código CloudMensis, o que dificulta o rastreamento da atividade de malware e o bloqueio no nível da rede. Note-se que táticas semelhantes anteriores foram usadas por vários grupos de hackers, incluindo Inception (Cloud Atlas) e APT37 (Reaper ou Group 123).