La société de cybersécurité ESET a découvert un malware de porte dérobée macOS jusque-là inconnu qu’elle a appelé CloudMensis. Les chercheurs ont confirmé que le tout nouveau logiciel malveillant représente un risque actif pour les utilisateurs de Mac et peut prendre les fichiers des utilisateurs, prendre des captures d’écran et enregistrer les frappes au clavier.
Un nouveau risque furtif pour les Mac
Les chercheurs de le groupe de sécurité basé en Slovaquie a annoncé ses conclusions mardi, nommant le tout nouveau malware CloudMensis car ses opérateurs le contrôlent exclusivement au moyen d’un service de stockage en nuage. Le projet est en fait actif depuis le 4 février 2022 et a déclaré au moins 51 victimes jusqu’à présent.
ESET a déclaré que le logiciel malveillant est capable de voler des informations individuelles aux utilisateurs de Mac qui n’ont pas avait suffisamment de mises à jour logicielles. Selon le chercheur d’ESET Marc-Etienne M.Léveillé, CloudMensis peut affecter à la fois les Mac à puce Apple et Intel.
ESET ne sait toujours pas comment le logiciel malveillant de porte dérobée compromet initialement les victimes. Par exemple, CloudMensis n’utilise pas de lien cliquable comme les RAT et les enregistreurs de frappe typiques ont tendance à le faire. Cela peut se faire via un e-mail de phishing, un SMS ou d’autres services de messagerie pour inciter la victime à télécharger le fichier destructeur.
« Nous ne savons toujours pas comment CloudMensis est d’abord dispersé et qui sont les cibles, », a déclaré Léveillé dans son communiqué. « La qualité de base du code et le manque d’obscurcissement révèlent que les auteurs ne connaissent peut-être pas très bien le développement Mac et ne sont pas si sophistiqués. Beaucoup de ressources ont été investies pour faire de CloudMensis un outil d’espionnage efficace et une menace pour les cibles possibles. »
Recommandant que le projet soit une opération ciblée, les professionnels d’ESET ont déclaré que le malware est extrêmement limité dans sa distribution, bien qu’il soit exceptionnellement furtif.
39 façons de piller les données
Dès que CloudMensis passe la première étape de l’infiltration et obtient le contrôle administratif, il édicte une « deuxième phase plus fonctionnelle à partir d’un service de stockage en nuage », a déclaré ESET. À ce stade, la suite complète de logiciels malveillants est téléchargée sur le système informatique de l’utilisateur.
Cette suite de contrôles est exécutée par un opérateur de commande et de contrôle (CnC) cybercriminel à distance via des services cloud utilisés par l’auteur du logiciel malveillant. Les services cloud hébergés par CloudMensis sont pCloud, Yandex et Dropbox, profondément populaires et couramment utilisés. Une analyse plus approfondie par ESET a montré que le CloudMensis peut contourner le système TCC (ouverture, consentement et contrôle) d’Apple qui bloque l’accès externe aux caméras, aux microphones, à l’activité du clavier et aux captures d’écran.
Un total de 39 commandes différentes ont été découverts dans l’arsenal d’infiltration du logiciel malveillant, composé de fonctions permettant de prendre des fichiers, des captures d’écran, des messages, des e-mails et une variété d’autres données sensibles, en particulier à partir d’ordinateurs Mac. ESET a trouvé les chaînes « Leonwork » et « BaD » dans les éléments du représentant espion. Ce dernier est potentiellement le nom de la tâche, a déclaré ESET.
Restez à jour, activez le mode de verrouillage à l’avenir
Le malware exploite également plusieurs vulnérabilités macOS trouvées dans les anciennes versions du système d’exploitation pour faire son travail. ESET a découvert que le logiciel malveillant tentait d’exploiter quatre vulnérabilités corrigées par Apple en 2017, ce qui suggère que le logiciel malveillant existe peut-être depuis de nombreuses années.
Bien qu’il semble que la distribution du danger soit extrêmement limitée pour le moment, et peut-être que CloudMensis a été conçu sur mesure pour pénétrer des cibles d’intérêt particulières, il existe encore des mesures de sécurité que les utilisateurs de Mac peuvent prendre.
Pour vous protéger de CloudMensis, assurez-vous d’avoir mis à niveau votre Mac vers la version la plus récente variation. Deuxièmement, les rapports d’ESET suggèrent aux utilisateurs de rechercher le « mode de verrouillage ». Ce mode désactive de nombreuses fonctions régulièrement utilisées par les cybercriminels pour contourner la sécurité du système et déployer efficacement leurs logiciels malveillants. Le mode de verrouillage n’est pas encore disponible, mais doit être introduit cet automne avec iOS16, iPadOS 16 et macOS Ventura.
Enfin, vous aimerez peut-être vous doter d’une compréhension de la cybersécurité grâce à notre court article sur les différents types des logiciels espions qui existent et consultez notre guide complet sur la cybersanté pour vous protéger de manière optimale contre les procédures nuisibles telles que CloudMensis.
Toute l’actualité en temps réel, est sur L’Entrepreneur