I ricercatori di ESET hanno scoperto un nuovo malware che prende di mira gli utenti Mac. I cybercriminali sfruttano tre noti servizi di cloud storage per installare la backdoor che aggira le protezioni di macOS e permette di eseguire varie azioni, tra cui il furto di documenti. Proprio per la sua modalità di distribuzione è stato scelto il nome CloudMensis.
Backdoor per macOS tramite cloud storage
CloudMensis è un malware scritto in Objective-C per le architettura Apple e Intel, quindi può essere installato anche sui nuovi MacBook con chip ARM. I ricercatori di ESET non hanno ancora individuato come ottiene l’accesso iniziale nel sistema, ma hanno scoperto che viene installato in due fasi successive, dopo aver guadagnano i privilegi amministrativi. Il primo stadio (downloader) scarica il secondo stadio (backdoor) da tre servizi di cloud storage: pCloud, Yandex Disk e Dropbox.
Nel codice del primo stadio è presente una funzione che consente di aggirare la sandbox di Safari, sfruttando quattro vulnerabilità del browser. Dato che le patch sono disponibili da tempo, i cybercriminali non usano più questa tecnica per distribuire CloudMensis (ma il codice non è stato rimosso). La nuova modalità prevede invece l’uso dei servizi di cloud storage. La backdoor può eseguire una serie di azioni, tra cui rubare documenti, effettuare screenshot, accedere agli allegati delle email, registrare audio e raccogliere altre informazioni.
CloudMensis può aggirare la protezione TCC (Transparency, Consent and Control) di macOS che mostra un avviso quando un’applicazione tenta di ottenere alcuni permessi, come quelli per effettuare screenshot. I file più grandi vengono inviati all’account cloud in formato ZIP.
Oltre ad installare un antivirus, gli utenti dovrebbero attivare la protezione Lockdown Mode, quando Apple rilascerà macOS Ventura.