-
09/04/2020
-
85
-
553 bài viết
Phát hiện phần mềm gián điệp CloudMensis mới nhắm mục tiêu người dùng macOS
Các nhà nghiên cứu thuộc công ty an ninh mạng ESET của Slovakia đã phát hiện phần mềm độc hại có tên CloudMensis đang nhắm mục tiêu vào thiết bị macOS. Phần mềm này được cho là sử dụng các dịch vụ lưu trữ đám mây công cộng như pCloud, Yandex Disk và Dropbox để nhận lệnh của kẻ tấn công và đánh cắp tệp.
Nhà nghiên cứu Marc-Etienne M.Léveillé của ESET cho biết: “Khả năng của phần mềm cho thấy mục đích của tin tặc là thu thập thông tin từ máy Mac của nạn nhân bằng cách trích xuất tài liệu, tổ hợp phím và chụp màn hình”.
CloudMensis (Objective-C) được phát hiện lần đầu tiên vào tháng 4 năm 2022 và được thiết kế để tấn công cả thiết bị sử dụng chip Intel và Apple silicon. Cách thức lây nhiễm ban đầu của các cuộc tấn công và mục tiêu vẫn chưa được xác định. Tuy nhiên, việc phân phối rất hạn chế là một dấu hiệu cho thấy phần mềm độc hại đang được sử dụng như một phần của hoạt động nhắm mục tiêu vào các tổ chức quan trọng.
ESET đã xác định chuỗi tấn công của phần mềm như sau:
Mã độc còn đi kèm với các tính năng để qua mặt TCC (Transparency, Consent and Control) - một framework có vai trò đảm bảo tất cả các ứng dụng đều nhận được sự đồng ý của người dùng trước khi truy cập tệp trong Tài liệu, Tải xuống, Desktop, iCloud Drive và các dữ liệu chia sẻ trong mạng.
Để thực hiện điều này, mã độc khai thác một lỗ hổng an ninh đã vá khác là CVE-2020-9934. Các chức năng khác được backdoor hỗ trợ bao gồm nhận danh sách các tiến trình đang chạy, chụp ảnh màn hình, liệt kê tệp từ thiết bị lưu trữ di động và chạy shell lệnh và các payload tùy ý khác.
Trên hết, một phân tích về siêu dữ liệu từ cơ sở hạ tầng lưu trữ đám mây cho thấy các tài khoản pCloud được tạo vào ngày 19 tháng 1 năm 2022, với các cuộc tấn công bắt đầu vào ngày 4 tháng 2 và đạt đỉnh vào tháng 3.
M.Léveillé cho biết: “Tính chất chung của code thiếu đi sự xáo trộn các đoạn mã cho thấy tác giả không quá quen trong việc lập trình và phát triển Mac. Tuy nhiên, rất nhiều nguồn lực đã được sử dụng để biến CloudMensis trở thành một công cụ gián điệp mạnh mẽ và là mối đe dọa đối với các mục tiêu tiềm năng”.
Nhà nghiên cứu Marc-Etienne M.Léveillé của ESET cho biết: “Khả năng của phần mềm cho thấy mục đích của tin tặc là thu thập thông tin từ máy Mac của nạn nhân bằng cách trích xuất tài liệu, tổ hợp phím và chụp màn hình”.
CloudMensis (Objective-C) được phát hiện lần đầu tiên vào tháng 4 năm 2022 và được thiết kế để tấn công cả thiết bị sử dụng chip Intel và Apple silicon. Cách thức lây nhiễm ban đầu của các cuộc tấn công và mục tiêu vẫn chưa được xác định. Tuy nhiên, việc phân phối rất hạn chế là một dấu hiệu cho thấy phần mềm độc hại đang được sử dụng như một phần của hoạt động nhắm mục tiêu vào các tổ chức quan trọng.
ESET đã xác định chuỗi tấn công của phần mềm như sau:
- Giai đoạn đầu tiên: lạm dụng thực thi mã và đặc quyền quản trị để khởi chạy tải trọng
- Giai đoạn hai: đánh cắp tài liệu, ảnh chụp màn hình và tệp đính kèm email sau đó được lưu trữ trên pCloud.
Mã độc còn đi kèm với các tính năng để qua mặt TCC (Transparency, Consent and Control) - một framework có vai trò đảm bảo tất cả các ứng dụng đều nhận được sự đồng ý của người dùng trước khi truy cập tệp trong Tài liệu, Tải xuống, Desktop, iCloud Drive và các dữ liệu chia sẻ trong mạng.
Để thực hiện điều này, mã độc khai thác một lỗ hổng an ninh đã vá khác là CVE-2020-9934. Các chức năng khác được backdoor hỗ trợ bao gồm nhận danh sách các tiến trình đang chạy, chụp ảnh màn hình, liệt kê tệp từ thiết bị lưu trữ di động và chạy shell lệnh và các payload tùy ý khác.
Trên hết, một phân tích về siêu dữ liệu từ cơ sở hạ tầng lưu trữ đám mây cho thấy các tài khoản pCloud được tạo vào ngày 19 tháng 1 năm 2022, với các cuộc tấn công bắt đầu vào ngày 4 tháng 2 và đạt đỉnh vào tháng 3.
M.Léveillé cho biết: “Tính chất chung của code thiếu đi sự xáo trộn các đoạn mã cho thấy tác giả không quá quen trong việc lập trình và phát triển Mac. Tuy nhiên, rất nhiều nguồn lực đã được sử dụng để biến CloudMensis trở thành một công cụ gián điệp mạnh mẽ và là mối đe dọa đối với các mục tiêu tiềm năng”.
Nguồn: The Hacker News
Chỉnh sửa lần cuối: