חוקרי האבטחה של חברת ESET הסלובקית הכריזו כי הם איתרו נוזקה חדשה בשם CloudMensis, המיועדת לתקיפה של מחשבי אפל המריצים את מערכת ה-macOS של החברה.
הנוזקה מסוגלת לבצע מגוון פעולות כמו איסוף ושליחה של קבצים, צילום מסך ומעקב אחרי הקשות המקלדת, כאשר את כלל הפעולות והחומרים הללו היא מעבירה לאחד מ-3 שירותי ענן: pCloud, Yandex Disk או Dropbox.
מניתוח נוזקת ה-CloudMensis החדשה אפשר לדמות אותה לפרצת “דלת אחורית” המיועדת להעניק גישה למחשב עבור תוקפים זדוניים, על אף כי דרך הפעולה שלה שונה.
לאחר ההדבקה הראשונית של מחשב המק בעזרת CloudMensis, הנוזקה מורידה “שלב שני” מאחד משלושת שירותי הענן (pCloud, Yandex Disk או Dropbox) איתם היא נועדה לעבוד, זאת בניגוד לנוזקות אחרות המתחברות לשרת יעודי של התוקף.
השלב השני הוא זה שמאפשר לנוזקה לשמש ככלי ריגול עוצמתי למדי נגד מחשבי מק, עם יכולת לבצע 39 פעולות שונות כמו צילום מסך, איסוף קבצים ומעקב אחר הקשות המקלדת של המשתמשים.
את ההוראות לביצוע פעולות הריגול השונות נוזקת ה-CloudMensis מקבלת מאותם פתרונות ענן אליהם היא גם שולחת לאחר מכן את החומר הנאסף מהמחשב המותקף.
על אף היותה נוזקה משמעותית למדי לאיסוף מידע ממחשבי מק, התפוצה הנמוכה שלה מסמנת כי ככל הנראה הנוזקה מיועדת לתקיפה של מטרות ספציפיות ולא לתקיפה כללית של משתמשים ברשת, כאשר ניתוח של נתוני מטא-דאטה מגלה כי הנוזקה החלה להעביר פקודות החל מה-4 בפברואר 2022.
חוקר האבטחה של ESET, מארק-אטיין לווייה שניתח נוזקת ה-CloudMensis, מסר:
אנחנו עדיין לא יודעים כיצד CloudMensis הופצה בהתחלה ומי המטרות שלה. האיכות הכללית של הקוד בנוזקה והיעדר החשאיות מראה שככל הנראה, יוצרי הנוזקה אינם מנוסים בפיתוח תוכנות ל-Mac ואינם מתוחכמים כל כך. עם זאת, משאבים רבים הושקעו במאמץ להפוך את CloudMensis לכלי ריגול עוצמתי ולאיום עבור המטרות הפוטנציאליות שלה.
במהלך ניתוח נוזקת ה-CloudMensis על ידי ESET לא התגלו פרצות יום 0 חדשות בהן הנוזקה משתמשת ולכן מומלץ להקפיד על עדכון מערכת ה-macOS לתיקון פרצות אבטחה קיימות במערכת.
