Peneliti keamanan siber telah mengungkap spyware yang sebelumnya tidak terdokumentasi yang menargetkan sistem operasi Apple macOS.
Malware, dengan nama kode CloudMensis oleh perusahaan keamanan siber Slovakia ESET, dikatakan secara eksklusif menggunakan layanan penyimpanan cloud publik seperti pCloud, Yandex Disk, dan Dropbox untuk menerima perintah penyerang dan mengekstrak file.
“Kemampuannya dengan jelas menunjukkan bahwa maksud dari operatornya adalah untuk mengumpulkan informasi dari Mac korban dengan mengekstrak dokumen, penekanan tombol, dan tangkapan layar,” kata peneliti ESET Marc-Etienne M.Léveillé dalam sebuah laporan yang diterbitkan hari ini.

CloudMensis, yang ditulis dalam Objective-C, pertama kali ditemukan pada April 2022 dan dirancang untuk menyerang arsitektur silikon Intel dan Apple. Vektor infeksi awal untuk serangan dan target masih belum diketahui. Tetapi distribusinya yang sangat terbatas merupakan indikasi bahwa malware digunakan sebagai bagian dari operasi yang sangat bertarget yang ditujukan terhadap entitas yang berkepentingan.
Rantai serangan yang ditemukan oleh ESET menyalahgunakan eksekusi kode dan hak administratif untuk meluncurkan payload tahap pertama yang digunakan untuk mengambil dan mengeksekusi malware tahap kedua yang dihosting di pCloud, yang, pada gilirannya, mengekstrak dokumen, tangkapan layar, dan lampiran email, antara lain .

Pengunduh tahap pertama juga dikenal untuk menghapus jejak pelarian kotak pasir Safari dan eksploitasi eskalasi hak istimewa yang menggunakan empat kelemahan keamanan yang sekarang diselesaikan pada tahun 2017, menunjukkan bahwa CloudMensis mungkin telah terbang di bawah radar selama bertahun-tahun.
Implan juga dilengkapi dengan fitur untuk melewati kerangka kerja keamanan Transparansi, Persetujuan, dan Kontrol (TCC), yang bertujuan untuk memastikan bahwa semua aplikasi mendapatkan persetujuan pengguna sebelum mengakses file di Dokumen, Unduhan, Desktop, iCloud Drive, dan volume jaringan.

Ini mencapai ini dengan mengeksploitasi kerentanan keamanan lain yang ditambal yang dilacak sebagai CVE-2020-9934 yang terungkap pada tahun 2020. Fungsi lain yang didukung oleh pintu belakang termasuk mendapatkan daftar proses yang berjalan, menangkap tangkapan layar, membuat daftar file dari perangkat penyimpanan yang dapat dilepas, dan menjalankan shell perintah dan muatan arbitrer lainnya.
Selain itu, analisis metadata dari infrastruktur penyimpanan cloud menunjukkan bahwa akun pCloud dibuat pada 19 Januari 2022, dengan kompromi dimulai pada 4 Februari dan memuncak pada Maret.
“Kualitas umum dari kode dan kurangnya kebingungan menunjukkan penulis mungkin tidak begitu akrab dengan pengembangan Mac dan tidak begitu maju,” kata M.Léveillé. “Meskipun demikian, banyak sumber daya yang dimasukkan untuk menjadikan CloudMensis alat mata-mata yang kuat dan ancaman bagi target potensial.”