CloudMensis Spyware para Mac
Segurança de endpoint

CloudMensis: um novo spyware para Mac

O FortiGuard Labs está ciente de um relatório de que um novo spyware para Mac foi descoberto em campo. Apelidado de “CloudMensis”, o spyware está ativo desde pelo menos fevereiro de 2022 e permite que um invasor execute várias atividades em uma máquina comprometida, como capturar pressionamentos de tecla, fazer capturas de tela, baixar e executar arquivos remotos e exfiltrar mensagens de e-mail e anexos.

Por que isso é significativo?

Isso é significativo porque o CloudMensis é um spyware anteriormente desconhecido para macOS que pode executar várias atividades em uma máquina comprometida. Além disso, ele está equipado com um recurso para contornar Transparência, Consentimento e Controle (TCC), um recurso de segurança no Mac, para permitir a execução de ações nefastas envolvendo dados confidenciais.

O que é CloudMensis?

CloudMensis é um novo spyware para macOS.

De acordo com um fornecedor de segurança ESET, um downloader foi implantado na máquina Mac comprometida assim que um invasor obtém acesso administrativo por meios desconhecidos. O downloader baixa o CloudMensis de um serviço de armazenamento em nuvem e o instala na máquina de destino.

O relatório indica que esse spyware permite que um invasor execute atividades como:

  • Baixando e executando arquivos remotos
  • Exfiltrando mensagens de e-mail e anexos
  • Keylogging
  • Fazendo capturas de tela
  • Executando pesquisas em unidades removíveis
  • Carregar informações roubadas para armazenamentos em nuvem em um arquivo zip protegido por senha

 

Além disso, o CloudMensis é capaz de contornar Transparência, Consentimento e Controle (TCC), um recurso de segurança introduzido no macOS 10.8 (OS X Mountain Lion), que permite ao usuário definir configurações de privacidade para aplicativos macOS. O TCC geralmente se manifesta para o usuário na forma de uma janela de prompt que solicita ao usuário permitir ou negar que aplicativos executem determinadas ações envolvendo informações confidenciais, como acesso a webcams, microfones e iCloud. A configuração do TCC é armazenada em TCC.db, que é protegido pela Proteção de Integridade do Sistema (SIP). Se o SIP estiver desabilitado, o CloudMensis concede a si mesmo uma permissão adicionando entradas ao banco de dados. Se o SIP estiver habilitado, mas a versão do macOS instalada for anterior à 10.15.6, o CloudMensis explora uma vulnerabilidade conhecida corrigida em julho de 2020 para adicionar entradas ao banco de dados TCC.

Qual é o Status da Cobertura?

Os clientes do FortiGuard Labs com as definições (AV) mais recentes estão protegidos contra o CloudMensis com a seguinte cobertura:

  • OSX/Agent.BW!tr
  • Adware/CloudMensis!OSX
  • Adware/CloudMensis

A Xtech Solutions e sua equipe está pronta para ajudar a proteger a sua companhia das ameaças mais atuais do mercado. Fale como a nossa equipe.

Compartilhe

Deixe um comentário

O seu endereço de e-mail não será publicado.