CloudMensis : un nouveau malware pour Mac utilisant des services de cloud public

Félix Cattafesta |

Un nouveau malware capable d'exfiltrer certaines données des Mac de ses victimes circule actuellement. Repéré par la firme de cybersécurité ESET et baptisé CloudMensis, celui-ci peut récupérer des documents, des saisies de clavier, mais aussi des e-mails. Il est également en capacité d'effectuer des captures d'écrans sur les Mac ciblés.

Schéma de l'utilisation des services de stockage en nuage par CloudMensis. Image : ESET.

La particularité de CloudMensis est qu'il utilise des services de stockage dans le nuage public, à savoir Yandex, pCloud ou encore Dropbox. Ces serveurs ont été utilisés pour emmagasiner les données exfiltrées, mais aussi pour permettre au virus de recevoir des composants supplémentaires. Une fois installé sur les Mac ciblés par l'attaque et après avoir obtenu les droits administrateur, le programme pouvait télécharger un paquet comportant 39 commandes afin de récupérer différentes informations et documents.

Comment ce malware arrive-t-il à déjouer les protections d'Apple ? Difficile de le dire, et la firme de cybersécurité explique qu'aucune faille « zero day » (inconnue d'Apple) n'a été utilisée. ESET se veut rassurant dans le sens où ce malware vise des victimes spécifiques dans le cadre d'opérations ciblées : il dispose donc d'une diffusion très limitée.

« La qualité générale du code et l'absence d'obfuscation montrent que les auteurs ne sont peut-être pas très familiers avec le développement Mac et ne sont pas si expérimentés », précisent-ils. Actuellement, les chercheurs expliquent ne pas savoir comment CloudMensis est distribué et qui sont ses cibles. Ils ajoutent cependant que beaucoup de ressources semblent avoir été consacrées à la création du programme.


Source
Image d'accroche : Pixabay.
avatar mimolette51 | 

Oui la qualité du code laisse a désiré mais bon ca donne juste un malware sur l'OS sencé être le mieux protégé ^^

avatar Cyrille50 | 

C'est vous dire ce qui se passe sur ceux qui sont moins bien protégés, chère Mimolette !

avatar Lucas | 

@mimolette51

Le fait qu’il y ait des articles sur un petit virus de temps en temps montre qu’il n’y en a pas tant que ça… 🤞

avatar Mac1978 | 

Uniquement Mac ou aussi iPadOS, iOS ?

avatar iPop | 

@Mac1978

A mon avis Mac , iOS est très fermé.

avatar ingmar92110 | 

Ça paraît presque antinomique: peu expérimentés, code bof, versus gros moyens attaques ciblées..

avatar bonnepoire | 

@ ingmar92110
Pas forcément. C’est pas parce que ton entreprise a des gros moyens financiers qu’elle engage les meilleurs programmeurs. Après tout, un programmeur ou un autre c’est pareil, ils codent tous… 🙄

avatar ingmar92110 | 

@bonnepoire

Oui je dois être encore naïf malgré mon grand âge..

avatar TheUMan | 

Bof, à partir du moment où vous utilisez le cloud il faut s'attendre à ne plus être maitre de vos données...
Et le cloud que tente d'imposer Apple ne déroge pas à cette règle...

avatar v1nce29 | 

C'est pas le problème ici. Ces gens n'utilisent pas (ou pas forcément) le cloud. C'est le virus qui se connecte à un espace de stockage dans le cloud pour y héberger les fichiers piratés.

avatar r e m y | 

Non rien... j'avais lu de travers les explications de ESET

avatar TheUMan | 

@v1nce29
Le fait qu'Apple force l'usage/l'activation de leur cloud lors de l'installation d'un nouvel ordinateur concourt du même problème. Le cloud d'Apple, c'est pas un malware certes, mais cela ralenti considérablement votre machine et envoi vos données chez Apple sans que BEAUCOUP de gens comprennent réellement ce qu'il se passe et comme c'est maintenant quasi activé d'office c'est "dangereux" (seuls ceux qui savent sont encore capables de le désactiver)

Et je ne parle même pas du bugs qui fait que l'on peut perdre des données si vous décidez de couper le partage cloud alors que les données ne sont plus en local sur votre poste...

avatar marc_os | 

> Comment ce malware arrive-t-il à déjouer les protections d'Apple ? Difficile de le dire, et la firme de cybersécurité explique qu'aucune faille « zero day » (inconnue d'Apple) n'a été utilisée.

Je dirais même plus, welivesecurity.com n'en sait strictement rien. En effet, ils écrivent ceci :
We still do not know how victims are initially compromised by this threat.

De plus :
However, we understand that when code execution and administrative privileges are gained, what follows is [...]
signifie qu'il faut également que le code ait obtenu les droits admin au préalable.
Comment ?
Mystère est boulle de gomme.

avatar r e m y | 

Obtenir les droits admin ce n'est pas difficile!
Je ne sais pas si c'est ainsi que les obtient ce malware, mais il y a depuis toujours quelques dizaines de malwares ou adwares sur le Mac AppStore qui se font passer pour des antivirus. Aucun mal pour eux d'obtenir que l'utilisateur leur donne son mot de passe administrateur ET accès à l'intégralité du disque ( c'est légitime pour un antivirus pour qu'il puisse faire son travail).

CONNEXION UTILISATEUR