Un nouveau malware Mac baptisé CloudMensis est utilisé pour acquérir des données personnelles de macOS.
Les chercheurs en sécurité affirment que le logiciel espion CloudMensis peut permettre à un attaquant de télécharger des fichiers, de capturer des frappes au clavier, de prendre des captures d’écran, etc.. Ce logiciel espion particulier est utilisé activement depuis février et semble cibler des individus spécifiques.
Voici tous les détails :
« Une porte dérobée jusque-là inconnue a été découverte dans macOS et est actuellement exploitée pour espionner les utilisateurs Mac compromis.
Découvert pour la première fois par des chercheurs de la société de cybersécurité ESET, le nouveau malware a été surnommé CloudMensis. Les capacités de CloudMensis montrent que ses créateurs l’ont conçu pour recueillir des informations sur les Mac des victimes, et le logiciel malveillant est capable de capturer des documents et des frappes au clavier, de répertorier les e-mails et les pièces jointes, de répertorier les fichiers à partir d’un stockage amovible et de faire des captures d’écran. »
Alors que CloudMensis est certainement une menace pour les utilisateurs de Mac, sa distribution très limitée suggère qu’il est destiné à être utilisé dans le cadre d’une opération ciblée. D’après ce que les chercheurs d’ESET ont observé jusqu’à présent, les cybercriminels responsables distribuent des logiciels malveillants pour cibler des utilisateurs spécifiques qui les intéressent.
Nous ne savons toujours pas comment CloudMensis est initialement distribué et qui sont les cibles. La qualité globale du code montre que les auteurs ne sont peut-être pas très familiers avec le développement Mac et ne sont pas si avancés. Cependant, de nombreuses ressources ont été consacrées à faire de CloudMensis un puissant outil d’espionnage et une menace pour les cibles potentielles.
Bien qu’il soit courant que les malwares Phone Home reçoivent des commandes et téléchargent des composants malveillants supplémentaires, cela signifie généralement qu’ils se connectent à un serveur privé géré par l’attaquant. CloudMensis est inhabituel en ce sens qu’il peut fonctionner sur des services de stockage en nuage.
Après avoir obtenu l’exécution de code et les privilèges administratifs sur un Mac compromis, l’attaque exécute un logiciel malveillant de première étape qui récupère une deuxième étape avec des fonctionnalités supplémentaires à partir d’un service de stockage en nuage.
La deuxième phase est un composant beaucoup plus grand et riche en fonctionnalités pour collecter des informations à partir du Mac compromis. Bien que 39 commandes soient actuellement disponibles, la deuxième phase de CloudMensis vise à prendre des documents, des captures d’écran, des pièces jointes aux e-mails et d’autres informations auprès des victimes.
CloudMensis utilise le stockage en nuage à la fois pour recevoir des commandes de ses opérateurs et pour acquérir des fichiers. Il prend actuellement en charge trois fournisseurs différents : pCloud, Yandex Disk et Dropbox.
On ne sait toujours pas comment le logiciel malveillant est capable de vaincre les défenses de macOS, car ESET affirme qu’il n’utilise pas de vulnérabilités cachées.
Le fait que les logiciels espions soient utilisés de manière ciblée signifie que la plupart des utilisateurs de Mac n’ont pas à s’inquiéter. Cependant, il est inquiétant que CloudMensis soit capable de contourner à distance les mesures de sécurité dans macOS sans exploiter une vulnérabilité zero-day.