Un vilain morceau de malware Mac est activement utilisé dans la nature pour capturer des données personnelles à partir de Mac. Les chercheurs en sécurité affirment que le logiciel espion CloudMensis peut permettre à un attaquant de télécharger des fichiers, de capturer des frappes au clavier, de prendre des captures d’écran, etc.
La société de cybersécurité ESET affirme que le logiciel espion est utilisé activement depuis février et semble cibler des individus spécifiques…
Guide de Tom rapports.
Une porte dérobée jusque-là inconnue a été découverte dans macOS et est actuellement exploitée dans la nature pour espionner les utilisateurs de Mac compromis.
Découvert pour la première fois par des chercheurs de la société de cybersécurité ESET, le nouveau malware a été surnommé CloudMensis. Les capacités de CloudMensis montrent que ses créateurs l’ont conçu pour recueillir des informations sur les Mac des victimes et que le malware est capable d’exfiltrer des documents et des frappes, répertoriant les e-mails et les pièces jointes, répertoriant les fichiers du stockage amovible et les captures d’écran selon ESET.
Alors que CloudMensis est certainement une menace pour les utilisateurs de Mac, sa distribution incroyablement limitée suggère qu’il est destiné à être utilisé dans le cadre d’une opération ciblée. D’après ce que les chercheurs d’ESET ont observé jusqu’à présent, les cybercriminels responsables déploient le logiciel malveillant pour cibler des utilisateurs spécifiques qui les intéressent.
« Nous ne savons toujours pas comment CloudMensis est initialement distribué et qui sont les cibles. La qualité générale du code et le manque d’obscurcissement montrent que les auteurs ne sont peut-être pas très familiers avec le développement Mac et ne sont pas si avancés. Néanmoins, beaucoup de ressources ont été investies pour faire de CloudMensis un puissant outil d’espionnage et une menace pour les cibles potentielles.
Bien qu’il soit courant pour les logiciels malveillants de «téléphoner à la maison» pour recevoir des commandes et télécharger des composants de logiciels malveillants supplémentaires, cela indique généralement se connecter à un serveur privé géré par l’attaquant. CloudMensis est inhabituel en ce sens qu’il peut être exécuté sur des services de stockage en nuage.
Après avoir obtenu des privilèges d’exécution de code et d’administration sur un Mac compromis, il exécute un logiciel malveillant de première étape qui récupère une deuxième étape avec des fonctionnalités supplémentaires à partir d’un service de stockage en nuage selon ESET.
La deuxième étape est un composant beaucoup plus volumineux qui regorge de fonctionnalités permettant de collecter des informations à partir du Mac compromis. Bien qu’il existe 39 commandes actuellement disponibles, la deuxième étape de CloudMensis est destinée à exfiltrer les documents, les captures d’écran, les pièces jointes aux e-mails et d’autres informations des victimes.
CloudMensis utilise le stockage en nuage à la fois pour recevoir des commandes de ses opérateurs et pour exfiltrer des fichiers. Actuellement, il prend en charge trois fournisseurs différents : pCloud, Yandex Disk et Dropbox.
On ne sait pas comment le logiciel malveillant est capable de vaincre les défenses de macOS, car ESET affirme qu’il n’utilise aucune vulnérabilité non divulguée.
Le point de vue de Netcost-security.fr sur CloudMensis
Le fait que le logiciel espion soit apparemment utilisé de manière ciblée indique que la plupart des propriétaires de Mac n’ont pas à s’inquiéter d’en être victimes. Néanmoins, il est inquiétant que CloudMensis soit capable de contourner à distance les mesures de sécurité au sein de macOS sans exploiter une vulnérabilité zero-day.
Il vaut toujours la peine de suivre quelques précautions simples en matière de cybersécurité. Surtout, n’ouvrez jamais les pièces jointes que vous n’attendez pas, même si elles semblent provenir d’un contact connu, et ne téléchargez que des logiciels depuis le Mac App Store ou les sites Web de développeurs en qui vous avez confiance.
Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :
