CloudMensis espionne les utilisateurs de Mac

ESET Research

Les chercheurs d’ESET, éditeur Européen de solutions de sécurité, ont découvert une porte dérobée macOS inconnue jusqu’alors, qui espionne les utilisateurs de Mac compromis et utilise exclusivement des services de stockage Cloud public pour communiquer avec ses opérateurs. Nommé CloudMensis par ESET, ses fonctionnalités montrent clairement que l’intention des opérateurs est de recueillir des informations à partir des Mac des victimes en exfiltrant des documents et les frappes au clavier, en listant les emails les pièces jointes, et les fichiers sur les stockages amovibles, et en effectuant des captures d’écran.

CloudMensis est une menace pour les utilisateurs de Mac, mais sa diffusion très limitée suggère qu’il est utilisé dans le cadre d’une campagne ciblée. D’après ce qu’ESET Research a constaté, les opérateurs de cette famille de malwares déploient CloudMensis sur des cibles spécifiques qui présentent un fort intérêt pour eux. L’utilisation de vulnérabilités pour contourner les mesures d’atténuation de macOS montre que les opérateurs du malware tentent activement de maximiser la réussite de leurs campagnes d’espionnage. D’après nos recherches, aucune vulnérabilité inconnue (zero day) n’est utilisée par ce groupe de pirates. Il est recommandé d’utiliser un Mac à jour pour éviter, au moins, que les mesures d’atténuation ne soient contournées.

« Nous ne savons toujours pas comment CloudMensis est initialement diffusé et qui sont les cibles. La qualité générale du code et le manque d’obfuscation montrent que les auteurs ne sont peut-être pas des développeurs expérimentés sur Mac et ne sont pas si avancés. Néanmoins, beaucoup de ressources ont été investies pour faire de CloudMensis un outil d’espionnage puissant et une menace pour les cibles potentielles, » explique Marc-Etienne Léveillé, chercheur chez ESET qui a analysé CloudMensis.

Une fois que CloudMensis a obtenu des privilèges administrateur et d’exécution de code, un premier malware est lancé pour récupérer un second module plus riche en fonctionnalités à partir d’un service de stockage dans le Cloud.

Cette seconde étape est un composant beaucoup plus important, doté d’un certain nombre de fonctionnalités permettant de collecter des informations sur le Mac compromis. L’intention des attaquants est ici clairement d’exfiltrer des documents, des captures d’écran, des pièces jointes d’emails et d’autres données sensibles. Au total, 39 commandes sont actuellement disponibles.

CloudMensis utilise le stockage Cloud, à la fois pour recevoir des commandes de ses opérateurs et pour exfiltrer des fichiers. Il prend en charge trois fournisseurs différents : pCloud, Yandex Disk et Dropbox. La configuration incluse dans l’échantillon analysé contient des jetons d’authentification pour pCloud et Yandex Disk.

Les métadonnées des services de stockage utilisés révèlent des détails intéressants sur l’opération, par exemple qu’elle a commencé à transmettre des commandes aux bots à partir du 4 février 2022.

Apple a récemment reconnu la présence de logiciels espions ciblant les utilisateurs de ses produits, et est en train de tester un mode Lockdown sur iOS, iPadOS et macOS, qui désactive les fonctionnalités fréquemment exploitées pour obtenir des privilèges d’exécution de code et déployer des malwares.

À propos d’ESET :

Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes.

*Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber,

Quitter la version mobile