Поделиться
Хакерская программа атакует ПК Mac из облаков «Яндекса» и Dropbox
Программа CloudMensis устанавливает бэкдоры для вывода данных из систем под macOS. При этом эксперты ESET считают, что написан CloudMensis людьми, плохо разбирающимися в программирование под Mac.
Атака из облаков
Эксперты ESET обнаружили ранее неизвестный вредонос, который устанавливает бэкдоры в компьютеры Apple. Основным назначением атак стал вывод данных.
В ESET отметили, что вредонос CloudMensis использует облачные ресурсы pCloud, DropBox, а также Yandex Disk для размещения своих контрольных серверов. CloudMensis способен делать скриншоты, красть документы, электронные письма вместе с вложениями, выводить файлы с внешних накопителей, а также перехватывать нажатия клавиш.
Кроме того, операторы вредоноса могут настраивать, какие именно типы файлов им интересны, просматривать список запущенных процессов, запускать shell-команды и загружать или выкачивать произвольные файлы (вручную).
Первая атака CloudMensis, по мнению экспертов ESET, состоялась 4 февраля 2022 г. Количество последующих заражений очень невелико, что указывает на узконаправленный характер атак.
Много неизвестных
Вектор заражения остается пока неизвестным, как неизвестно, кого злоумышленники выбирают в качестве жертв.
«В целом качество кода и отсутствие обфускации свидетельствует о том, что авторы вредоноса плохо знакомы с разработкой под платформу Mac и не обладают высоким уровнем технической подготовки, — отметил исследователь ESET Марк-Этьен Левей (Marc-Etienne Léveillé), — И тем не менее немало ресурсов было вложено в то, чтобы превратить CloudMensis в мощный инструмент шпионажа и угрозу для потенциальных жертв».
«Хотя это кажется оксюмороном, в действительности даже довольно слабо исполненный код может быть вполне эффективным в том, что касается причинения вреда, — считает Алексей Водясов, технический директор компании SEQ. — Авторы вредоноса могут не иметь сколько-нибудь продвинутых познаний в аспектах программирования под macOS, и тем не менее создали рабочий шпионский модуль, эффективный, по-видимому, ровно настолько, насколько нужно».
После загрузки на компьютер под управлением macOS, CloudMensis может обходить систему защиты Transparency Consentand Control (TCC). Эта система предназначена для контроля над приватностью со стороны пользователя: при установке новых приложений TCC запрашивает у пользователя, разрешить ли им делать скриншоты и отслеживать нажатия клавиш на клавиатуре. Ограничения TCC также распространяются на устройства, подключаемые к персональному компьютеру.
Правила TCC хранятся в в базе данных, защищенной системой SIP (System Integrity Protection — защита целостности системы). Предполагается, что только демон TCC может вносить в нее изменения. Однако в некоторых случаях пользователи отключают SIP, и тогда CloudMensis сам вносит новые изменения в TCC.db.
Если используется система macOS Catalina до версии 10.15.6, Cloud Mensis задействует существующую в ней уязвимость, чтобы заставить демон TCC загрузить базу данных так, чтобы вредонос мог внести в нее изменения даже при работающем SIP. Речь идет об исправленной два года назад уязвимости CVE-2020-9934.
В ESET отметили также, что есть множество других способов обходить TCC: среди них — уязвимости в powerdir (CVE-2021-30970), в TimeMachine (СМУ-2020-9771), а также баги с индексами CVE-2020-9934 и CVE-2021-30713, позволяющие эксплуатировать некоторые проблемы в системе. Apple уже выпустила патчи для них всех.
Эксперты ESET заявили, что группировка, стоящая за CloudMensis, не замечена в использовании уязвимостей нулевого дня, так что от ее атак можно застраховаться обновлением macOS до актуальной версии.
Короткая ссылка
