CloudMensis: novo malware para macOS pode fazer capturas de tela
33giga
Pesquisadores da ESET, empresa especialista em detecção de ameaças, descobriram um backdoor (porta de acesso não documentada que permite ao administrador entrar no sistema) para macOS, que espiona usuários de computadores comprometidos e usa serviços públicos de armazenamento em nuvem para se comunicar com seus operadores. Suas características mostram que a intenção dos operadores é coletar informações do equipamento da vítima extraindo documentos, gravando teclas e tirando capturas de tela.
A Apple reconheceu a presença de spyware voltado para usuários de seus produtos e anunciou recentemente o lançamento do modo Lockdown para iOS, iPadOS e macOS. A ferramenta desativa esses recursos comumente explorados para obter execução de código e implantar malware. Embora não seja uma das ameaças mais avançadas, o CloudMensis, como a ESET o nomeou, pode ser uma das razões pelas quais alguns usuários gostariam de habilitar esse mecanismo de defesa adicional. Desativar os principais pontos de entrada, às custas de uma experiência de usuário menos fluida, parece uma maneira razoável de reduzir a superfície de ataque.
"As amostras que analisamos do CloudMensis são compiladas para arquiteturas Intel e Apple. Ainda não sabemos como as vítimas conseguem ser comprometidas por esse malware. Entendemos, no entanto, que quando você recebe privilégios administrativos e de execução de código, há um processo de duas etapas: a primeira baixa e executa a segunda com mais funções. Curiosamente, o malware de primeiro estágio recupera o segundo de um provedor de armazenamento em nuvem, não utiliza um link acessível ao público e inclui um token de acesso para baixar o arquivo MyExecute da unidade. Na amostra analisada, o pCloud foi usado para armazenar e entregar a segunda etapa", diz Camilo Gutiérrez Amaya, Chefe do Laboratório de Pesquisa da ESET América Latina.
Os itens deixados em ambos os componentes, sugerem que seus autores os chamam de “execute” e “Client”, o primeiro sendo o downloader e o segundo o agente espião. O malware de primeiro estágio baixa e instala o malware de segundo estágio como um daemon do sistema (serviço que roda no background do sistema operacional). Nesta fase, os criminosos já devem ter privilégios administrativos, pois ambos os diretórios só podem ser modificados pelo usuário root.
O componente da primeira etapa inclui um método chamado removeRegistration, que é utilizado para fazer a limpeza após a exploração de uma vulnerabilidade no Safari. Inicialmente, a ESET pensou que o objetivo do removeRegistration era desinstalar versões anteriores do CloudMensis, mas pesquisas posteriores mostraram que esses arquivos são usados para iniciar explorações de sandbox e privilege escalation do Safari, enquanto abusam de quatro vulnerabilidades. Essas vulnerabilidades foram descobertas e documentadas por Niklas Baumstark e Samuel Groß, em 2017, e todas as quatro foram corrigidas pela Apple no mesmo ano. Então, essa técnica de distribuição provavelmente não será mais usada para instalar esse malware. Isso, de acordo com a ESET, sugere que o CloudMensis pode ter estado por aí há muitos anos.
O segundo estágio do CloudMensis é um componente muito maior, embalado com múltiplas funções para coletar informações do Mac comprometido. A ESET destaca que a intenção dos invasores é exfiltrar documentos, capturas de tela, anexos de e-mail e outros dados confidenciais. Esse malware usa o armazenamento em nuvem tanto para receber comandos de seus operadores, quanto para exfiltrar arquivos. Ele suporta três provedores diferentes: pCloud, Yandex Disk e Dropbox. A configuração inclusa na amostra analisada, contém tokens de autenticação para pCloud e Yandex Disk.
Uma das primeiras coisas que o agente espião CloudMensis faz é carregar sua configuração. Além disso, ele também tenta importar valores do que parecem ser versões anteriores de sua configuração, que contém os seguintes itens:
- Quais provedores de armazenamento em nuvem usar e os tokens de autenticação;
- Um identificador de bot gerado aleatoriamente;
- Informações sobre o Mac;
- Caminhos para vários diretórios usados pelo CloudMensis;
- Extensões de arquivos que são de interesse das operadoras.
Como mencionado pela ESET, a lista padrão de extensões de arquivo encontradas mostra que os operadores estão interessados em documentos, planilhas, gravações de áudio, imagens e e-mails dos computadores das vítimas. O formato menos comum, talvez seja o de gravações de áudio, usando o codec Adaptive Multi-Rate (usando as extensões .amr e .3ga), que é projetado especificamente para compactação de fala. Outras extensões de arquivo interessantes nesta lista são os arquivos .hwp e .hwpx, que são documentos para Hangul Office (agora Hancom Office), um processador de texto popular entre os falantes coreanos.
Algumas das ações que os comandos permitem que os operadores realizem são:
- Alterar valores nas configurações do CloudMensis: provedores de armazenamento em nuvem e tokens de autenticação, extensões de arquivos que são consideradas interessantes, frequência de pesquisa de armazenamento em nuvem;
- Criar lista de processos em execução;
- Fazer capturas de tela;
- Criar listas de mensagens de e-mail e anexos;
- Listar arquivos na unidade de armazenamento removível;
- Executar comandos shell e carregar a saída para armazenamento em nuvem;
- Baixar e executar arquivos arbitrários.
"O CloudMensis é um malware direcionado aos usuários do Mac, mas sua distribuição limitada sugere que é usado como parte de uma operação visando alvos específicos. O uso de vulnerabilidades para contornar as mitigações do macOS mostra que os espiões estão tentando, ativamente, maximizar o sucesso de suas operações. Ao mesmo tempo, o uso de vulnerabilidades de zero-day por esse grupo não foi descoberto durante nossa pesquisa. Portanto, recomenda-se ter seu Mac atualizado. Ainda não sabemos como atores maliciosos estão inicialmente distribuindo a ameaça e quem são os alvos. A qualidade geral do código e a falta de discrição, mostram que os autores podem não estar muito familiarizados com o desenvolvimento do Mac e não são tão avançados. No entanto, muitos recursos foram investidos para torná-lo uma poderosa ferramenta de espionagem e uma ameaça a alvos em potencial" conclui Camilo.
