ESET Araştırma Birimi, gizliliği ihlal edilmiş Mac bilgisayarların kullanıcılarını gözetleyen, operatörleriyle iletişimi sağlamak için yalnızca herkese açık bulut depolama hizmetlerini kullanan ve önceden bilinmeyen bir macOS arka kapısı keşfetti.
ESET, operatörlerle iletişime geçmek için bulut depolama hizmetlerini ve dizin isimleri olarak da ayların isimlerini kullandığı için söz konusu kötü amaçlı yazılıma CloudMensis adını verdi.
CloudMensis Mac kullanıcıları için bir tehdit olsa da dağıtımının sınırlı sayıda olması, bunun hedeflenmiş bir operasyonun parçası olarak kullanıldığına işaret ediyor. ESET’e göre bu kötü amaçlı yazılım ailesinin operatörleri, CloudMensis’i ilgi duydukları belirli hedeflere dağıtıyor. macOS önlemlerini atlatmak için güvenlik açıklarının kullanılması, kötü amaçlı yazılımın operatörlerinin casusluk operasyonlarından alınacak başarıyı arttırmak için aktif olarak çaba harcadıklarını gösteriyor. Araştırma, bu grubun açıklanmayan güvenlik açıklarını (sıfır gün saldırısı) da kullanmadığını ortaya koydu. Bu yüzden, en azından önlemlerin ihlal edilmesinden kaçınmak için güncel bir Mac kullanmanız tavsiye edilir.
CloudMensis, kod yürütme ve yönetici ayrıcalıkları elde ettiğinde, daha fazla özelliğe sahip ikinci aşamayı bir bulut depolama hizmetinden ele geçirerek ilk aşama kötü amaçlı yazılımı çalıştırıyor. Bu ikinci aşama, gizliliği ihlal edilmiş Mac’ten bilgi toplamak için birçok özelliğe sahip daha büyük bir bileşeni temsil ediyor. Saldırganlar burada açıkça belgeleri, ekran görüntülerini, e-posta eklerini ve diğer hassas verileri dışarı çıkarmayı amaçlıyor. Şu anda mevcut 39 komut bulunuyor.
CloudMensis, hem operatörlerinden gelen komutları almak hem de dosyaları dışarı çıkarmak için bulut depolamayı kullanıyor. pCloud, Yandex Disk ve Dropbox olmak üzere 3 farklı hizmet sağlayıcısını destekliyor. İncelenen örnekte yer alan yapılandırma, pCloud ve Yandex Disk’e yönelik kimlik doğrulama belirteçleri içeriyor.
Kullanılan bulut depolama hizmetlerinden alınan meta veriler, 4 Şubat 2022 tarihinden itibaren botlara komut iletilmeye başlanması gibi, operasyonla ilgili ilginç detaylar sunuyor.
Ürünlerini kullananları hedefleyen bir casus yazılımın olduğunu yakın bir zamanda açıklayan Apple, iOS, iPadOs ve macOS cihazları üzerinde kod yürütme ayrıcalığı kazanmak ve kötü amaçlı yazılım dağıtmak için sıklıkla suistimal edilen özellikleri devre dışı bırakan Lockdown Mode’un ön çalışmalarını gerçekleştiriyor.
