O FortiGuard Labs está ciente de um relatório de que um novo spyware para Mac foi descoberto em campo. Apelidado de “CloudMensis”, o spyware está ativo desde pelo menos fevereiro de 2022 e permite que um invasor execute várias atividades em uma máquina comprometida, como capturar pressionamentos de tecla, fazer capturas de tela, baixar e executar arquivos remotos e exfiltrar mensagens de e-mail e anexos.
Por que isso é significativo?
Isso é significativo porque o CloudMensis é um spyware anteriormente desconhecido para macOS que pode executar várias atividades em uma máquina comprometida. Além disso, ele está equipado com um recurso para contornar Transparência, Consentimento e Controle (TCC), um recurso de segurança no Mac, para permitir a execução de ações nefastas envolvendo dados confidenciais.
O que é CloudMensis?
CloudMensis é um novo spyware para macOS.
De acordo com um fornecedor de segurança ESET, um downloader foi implantado na máquina Mac comprometida assim que um invasor obtém acesso administrativo por meios desconhecidos. O downloader baixa o CloudMensis de um serviço de armazenamento em nuvem e o instala na máquina de destino.
O relatório indica que esse spyware permite que um invasor execute atividades como:
- Baixando e executando arquivos remotos
- Exfiltrando mensagens de e-mail e anexos
- Keylogging
- Fazendo capturas de tela
- Executando pesquisas em unidades removíveis
- Carregar informações roubadas para armazenamentos em nuvem em um arquivo zip protegido por senha
Além disso, o CloudMensis é capaz de contornar Transparência, Consentimento e Controle (TCC), um recurso de segurança introduzido no macOS 10.8 (OS X Mountain Lion), que permite ao usuário definir configurações de privacidade para aplicativos macOS. O TCC geralmente se manifesta para o usuário na forma de uma janela de prompt que solicita ao usuário permitir ou negar que aplicativos executem determinadas ações envolvendo informações confidenciais, como acesso a webcams, microfones e iCloud. A configuração do TCC é armazenada em TCC.db, que é protegido pela Proteção de Integridade do Sistema (SIP). Se o SIP estiver desabilitado, o CloudMensis concede a si mesmo uma permissão adicionando entradas ao banco de dados. Se o SIP estiver habilitado, mas a versão do macOS instalada for anterior à 10.15.6, o CloudMensis explora uma vulnerabilidade conhecida corrigida em julho de 2020 para adicionar entradas ao banco de dados TCC.
Qual é o Status da Cobertura?
Os clientes do FortiGuard Labs com as definições (AV) mais recentes estão protegidos contra o CloudMensis com a seguinte cobertura:
- OSX/Agent.BW!tr
- Adware/CloudMensis!OSX
- Adware/CloudMensis
A Xtech Solutions e sua equipe está pronta para ajudar a proteger a sua companhia das ameaças mais atuais do mercado. Fale como a nossa equipe.
