CloudMensis è la nuova minaccia pronta ad attaccare, in maniera mirata, gli utenti Mac per spiarli e rubare loro dati riservati sfruttando i servizi di cloud storage come canale di controllo ed esfiltrazione delle informazioni.
“Non è una novità che i malware utilizzino sistemi di cloud pubblici (esempio Dropbox, Google Drive, One Drive, Mega, pCloud eccetera) per scaricare le componenti malevole necessarie per infettare i dispositivi”, commenta Paolo Dal Checco, consulente informatico forense.
“In questo caso”, continua Dal Checco, “probabilmente l’elemento di rilievo è che i link utilizzati per scaricare i payload non sono pubblici”. Infatti, “nel cosiddetto Dropper sono state memorizzati anche i token di accesso per poter scaricare tali elementi”.
Lockdown Mode, così Apple protegge iPhone, iPad e Mac dagli spyware: come funziona
Indice degli argomenti
I dettagli del malware CloudMensis
Il malware CloudMensis è, in realtà, una backdoor per MacOS che, come spiega ancora Dal Checco, “dal cloud riceve i comandi con le istruzioni su cosa intercettare e acquisire dai dispositivi infetti”.
“E sempre nel cloud”, continua ancora l’analista, “caricare i dati esfiltrati tramite la rete Internet affinché gli attaccanti possano accedere alla refurtiva”.
Finora sconosciuta, CloudMensis spia gli utenti di Mac compromessi e sfrutta esclusivamente servizi di archiviazione cloud pubblici per comunicare con i suoi operatori. Il malware è stato così battezzato perché usa i nomi dei mesi per classificare le directory.
Ha funzionalità che mostrano l’intento degli hacker di raccogliere informazioni dai Mac delle vittime attraverso:
- l’esfiltrazione di documenti e sequenze di tasti;
- l’elencazione di messaggi e-mail e allegati, di file presenti in archivi rimovibili e immagini di schermate.
Una volta ottenuta l’esecuzione del codice e i privilegi amministrativi, CloudMensis esegue un primo stadio del malware che apre le porte al secondo livello più ricco di funzionalità mediante un servizio di cloud storage.
Il secondo stadio è una componente più corposa, dotata di una gamma di funzioni in grado di raccogliere informazioni dal Mac compromesso.
L’intento del cyber crime è quello di esfiltrare documenti, screenshot, allegati email e altri dati sensibili. In tutto, sono stati individuati 39 comandi.
CloudMensis supporta tre diversi provider: pCloud, Yandex Disk e Dropbox. La configurazione nel campione analizzato presenta token di autenticazione per pCloud e Yandex Disk.
L’origine del malware
“Altro elemento di rilievo”, sottolinea Dal Checco, “il fatto che nel codice si ritrovino ancora riferimenti a sistemi di evasione dalla sandbox di Safari note dal 2017 e non più efficaci né effettivamente utilizzate dal codice”.
“In passato, quindi, probabilmente il malware si diffondeva tramite exploit kit caricati su siti web che, una volta visitati con il browser Safari, sfruttavano vulnerabilità di diverso tipo per permettere all’infezione di fuoriuscire dal browser. Questa traccia nel codice ci fa, inoltre, conoscere l’età del malware, dandoci la possibilità di datare a diversi anni fa la sua nascita”, conclude Dal Checco.
“Non sappiamo ancora come CloudMensis sia stato distribuito inizialmente e quali siano gli obiettivi. La qualità generale del codice e la mancanza di offuscamento mostrano che gli autori potrebbero non avere molta familiarità con lo sviluppo di Mac e non siano così esperti. Ciononostante, sono state impiegate molte risorse per rendere CloudMensis un potente strumento di spionaggio e una minaccia per i potenziali obiettivi”, commenta Marc-Etienne Léveillé, ricercatore ESET che ha analizzato CloudMensis.
Un’operazione mirata
Secondo le rilevazioni di ESET Research, gli operatori di questa famiglia di malware distribuiscono CloudMensis su obiettivi specifici di loro interesse.
L’uso di vulnerabilità per aggirare le mitigazioni di macOS dimostra che gli hacker cercano attivamente di massimizzare il successo delle loro operazioni di spionaggio.
Al contempo, la ricerca non ha scoperto vulnerabilità zero day utilizzate da questo gruppo.
Dunque, è consigliabile l’uso di Mac aggiornati per evitare almeno eventuali elusioni della protezione.
Infatti, sono “notevoli i metodi che il sistema utilizza per cifrare i dati e per superare le misure di sicurezza di Mac OS”, conclude Dal Checco: “solitamente avvisano l’utente in caso di tentativi da parte di software di oltrepassare i permessi consentiti dal sistema e poter accedere a dispositivi esterni o intercettare i tasti premuti dalla tastiera”.
Come proteggersi
Apple ha di recente riconosciuto la presenza di spyware che mettono gli utenti dei suoi prodotti nel mirino.
Inoltre, sta lanciando in anteprima la modalità Lockdown su iOS, iPadOS e macOS, per disabilitare le funzioni spesso sfruttate proprio per ottenere l’esecuzione di codice e distribuire malware.