Mise à jour le 8 septembre, 2022 par Metaverse
Un groupe de chercheurs d’Eset a découvert une “porte dérobée” ou porte arrière pour macOS, qui a été baptisée CloudMensis, et qui est capable de collecter des informations sur les ordinateurs des victimes en exfiltrant des documents, des e-mails et des pièces jointes.
Ce “malware” utilise les services de stockage cloud pour communiquer avec les opérateurs, recevoir des commandes et voler des fichiers, comme l’explique l’équipe d’Eset Research dans un communiqué envoyé à Europa Press.
SysJoker, une porte dérobée mystérieuse qui cible à la fois Windows, macOS et Linux https://t.co/9Q6R8zc7ng
— 01net (@01net) January 18, 2022
Selon les métadonnées des services de stockage en nuage utilisés, le premier Mac compromis par cette récente campagne a été enregistré le 4 février, lorsque CloudMensis a commencé à transmettre des commandes aux “bots”.
De plus, en se basant sur l’utilisation de vulnérabilités pour contourner les mesures de sécurité intégrées à macOS, les opérateurs de logiciels malveillants tentent de maximiser le succès de leurs opérations d’espionnage.
Eset a indiqué qu’une fois que CloudMensis parvient à exécuter du code sur le système cible et obtient des privilèges d’administrateur, il exécute la première étape du logiciel malveillant, qui est responsable du téléchargement d’une deuxième phase plus fonctionnelle à partir d’un service de stockage en nuage.
Dans la deuxième phase, il présente une série de fonctions pour collecter des informations, telles que les pièces jointes aux e-mails et autres données sensibles.
En réalité, cette porte dérobée jusqu’alors inconnue est capable de lancer 39 commandes à partir de Mac compromis, telles que des frappes au clavier, ainsi que de collecter des captures d’écran ou des listes de fichiers à partir d’un stockage amovible.
Pour fonctionner, il prend en charge trois fournisseurs différents, tels que pCloud, Yandex Disk et Dropbox. En fait, la configuration incluse dans l’échantillon analysé par les chercheurs contient des jetons d’authentification pour pCloud et Yandex Disk.
Eset a indiqué qu’au cours de l’enquête menée, aucune vulnérabilité non divulguée n’a été trouvée, c’est-à-dire zero-day, utilisée par ce groupe. Pour cette raison, il a recommandé d’exécuter une mise à jour sur les appareils Mac pour au moins empêcher les logiciels malveillants de contourner les mesures de sécurité intégrées au système d’exploitation lui-même.
La société a également indiqué qu’elle ne sait pas comment cette menace est initialement distribuée, ni qui sont ses cibles, mais que “la qualité globale du code et l’absence d’obfuscation montrent que les auteurs ne sont peut-être pas très familiers avec le développement de menaces pour Mac et elles ne sont pas si avancées”, a souligné Marc-Etienne Léveillé, chercheur chez Eset.
De son côté, Apple a reconnu la présence de logiciels espions destinés aux utilisateurs de ses produits et avance le mode Lockdown (annoncé il y a quelques jours) dans iOS, iPadOS et macOS. Cette solution désactive les fonctions fréquemment exploitées pour obtenir l’exécution de code et déployer des « logiciels malveillants » sur les ordinateurs compromis.