Une porte dérobée jusque-là inconnue a été découverte dans macOS et est actuellement exploitée dans la nature pour espionner les utilisateurs de Mac compromis.
Découverte pour la première fois par des chercheurs de la société de cybersécurité ESETle nouveau malware a été surnommé CloudMensis. Les capacités de CloudMensis montrent que ses créateurs l’ont conçu pour recueillir des informations sur les Mac des victimes et que le malware est capable d’exfiltrer des documents et des frappes, répertoriant les e-mails et les pièces jointes, répertoriant les fichiers du stockage amovible et les captures d’écran selon ESET.
Alors que CloudMensis est certainement une menace pour les utilisateurs de Mac, sa distribution incroyablement limitée suggère qu’il est destiné à être utilisé dans le cadre d’une opération ciblée. D’après ce que les chercheurs d’ESET ont observé jusqu’à présent, les cybercriminels responsables déploient le logiciel malveillant pour cibler des utilisateurs spécifiques qui les intéressent.
Le chercheur d’ESET, Marc-Etienne Léveillé, a fourni des informations supplémentaires sur son analyse de CloudMensis dans un communiqué de presse (s’ouvre dans un nouvel onglet)en disant:
« Nous ne savons toujours pas comment CloudMensis est initialement distribué et qui sont les cibles. La qualité générale du code et le manque d’obscurcissement montrent que les auteurs ne sont peut-être pas très familiers avec le développement Mac et ne sont pas si avancés. Néanmoins, beaucoup de ressources ont été investies pour faire de CloudMensis un puissant outil d’espionnage et une menace pour les cibles potentielles.
Utilisation des services de stockage en nuage pour collecter des informations
Une chose qui distingue CloudMensis des autres familles de logiciels malveillants est la façon dont il utilise les services de stockage en nuage pour augmenter ses capacités.
Après avoir obtenu des privilèges d’exécution de code et d’administration sur un Mac compromis, il exécute un logiciel malveillant de première étape qui récupère une deuxième étape avec des fonctionnalités supplémentaires à partir d’un service de stockage en nuage selon ESET.
La deuxième étape est un composant beaucoup plus volumineux qui regorge de fonctionnalités permettant de collecter des informations à partir du Mac compromis. Bien qu’il existe 39 commandes actuellement disponibles, la deuxième étape de CloudMensis est destinée à exfiltrer les documents, les captures d’écran, les pièces jointes aux e-mails et d’autres informations des victimes.
CloudMensis utilise le stockage en nuage à la fois pour recevoir des commandes de ses opérateurs et pour exfiltrer des fichiers. Actuellement, il prend en charge trois fournisseurs différents : pCloud, Yandex Disk et Dropbox.
Sur la base des métadonnées des services de stockage en nuage utilisés avec le logiciel malveillant, il semble que l’opération ait commencé à transmettre des commandes aux bots au début du mois de février de cette année.
Le mode verrouillage à la rescousse mais pas encore
Bien qu’il ne soit pas encore disponible, le nouveau mode de verrouillage d’Apple pour iPhone, iPad et Mac aidera les utilisateurs des appareils de l’entreprise à éviter d’être infectés par des logiciels malveillants lors de son lancement cet automne aux côtés d’iOS 16, iPadOS 16 et macOS Ventura.
Le mode de verrouillage est capable d’empêcher ces types d’infections en désactivant de nombreuses fonctionnalités fréquemment utilisées par les cybercriminels pour obtenir l’exécution de code et déployer des logiciels malveillants.
Comme aucune vulnérabilité non divulguée ou zéro jour n’a été utilisée par le groupe derrière CloudMensis dans les recherches d’ESET, la meilleure chose que vous puissiez faire pour vous en protéger pour le moment est de vous assurer que votre Mac et les autres appareils Apple exécutent le dernier logiciel.