BRATISLAVA, MONTREAL, le 19 juillet 2022 — Les chercheurs d'ESET ont découvert une porte dérobée macOS encore inconnue, qui espionne les utilisateurs de Mac compromis et utilise uniquement des services de stockage cloud publics pour communiquer avec ses opérateurs. Elle a été nommée CloudMensis par ESET et l'intention de ses opérateurs est clairement de collecter des informations sur les Mac des victimes en exfiltrant des documents et des frappes, en répertoriant les mails et les pièces jointes ainsi qu'en créant des fichiers amovibles et des captures d'écran.
CloudMensis est une menace pour les utilisateurs de Mac, mais sa distribution très limitée suggère qu'il est utilisé dans le cadre d'une opération ciblée. ESET Research a constaté que les opérateurs de cette famille de maliciels déployaient CloudMensis à des fins spécifiques et importantes pour eux. L'utilisation de vulnérabilités pour contourner les restrictions macOS montre que les opérateurs essaient activement de maximiser le succès de leurs activités d'espionnage. Au cours des recherches, aucune vulnérabilité inconnue (zero day) n'a été trouvée qui aurait été utilisée par ce groupe. Il est donc recommandé d'utiliser un Mac à jour pour être sûr d’éviter des contournements moins agressifs.
« Nous ne savons pas encore comment CloudMensis est distribué et quelles sont les cibles. La qualité globale du code et le manque d'obscurcissement montrent que les auteurs ne connaissent peut-être pas bien les développement Mac et ne sont donc pas si avancés. Cependant, beaucoup d'efforts ont été déployés pour faire de CloudMensis un puissant outil d'espionnage et une menace pour les cibles potentielles », a déclaré Marc-Etienne Léveillé, chercheur chez ESET, qui a analysé CloudMensis.
Dès que CloudMensis obtient l'exécution du code et les privilèges administratifs, il exécute un premier maliciel qui, dans une deuxième étape, extrait des éléments plus fonctionnels d'un service de stockage cloud.
Cette deuxième étape est un composant bien plus important car dotée de fonctionnalités permettant la collecte d’informations sur le Mac compromis. Ici, l'intention des attaquants est clairement d'exfiltrer des documents, des captures d'écran, des pièces jointes et d'autres données sensibles. Au total 39 commandes sont actuellement disponibles.
CloudMensis utilise le stockage cloud pour recevoir des commandes de ses opérateurs et pour exfiltrer des fichiers. Il supporte trois fournisseurs différents : pCloud, Yandex Disk et Dropbox. Dans l'exemple analysé, la configuration utilise des tokens d'authentification pour pCloud et Yandex Disk.
Récemment, Apple a reconnu la présence de logiciels espions ciblant les utilisateurs de ses produits et a prévisualisé le mode Lockdown sur iOS, iPadOS et macOS. Il désactive les fonctionnalités qui sont souvent utilisées abusivement pour obtenir l'exécution de code et déployer des maliciels.
Pour plus d’information technique sur CloudMensis, lisez le blog “I see what you did there: a look at the CloudMensis macOS spyware” sur WeLiveSecurity. Suivez également ESET Research sur Twitter (ESET Research on Twitter) pour les dernières nouvelles d'ESET Research.
A propos d’ESET
Depuis plus de 30 ans, ESET®développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez
www.eset.com , ou suivez nous sur LinkedIn, Facebook, Twitter et
https://www.eset.com/be-fr/ .