Détection de CloudMensis : Nouveau Maliciel pour Dérober les Données des Utilisateurs macOS

Le nouveau malware CloudMensis passe à l’action avec des attaques très ciblées. Les chercheurs n’ont pas encore établi les techniques utilisées par les attaquants pour obtenir un accès initial aux appareils des victimes ; cependant, le petit nombre d’attaques documentées depuis février indique que le malware CloudMensis a été déployé pour exfiltrer des informations dans le cadre d’une campagne ciblée visant un certain nombre limité de cibles – loin d’être utilisé dans une approche moins efficace de type « spray-and-pray ».

Le malware est apparu sur les radars de sécurité en avril 2022. Les chercheurs ont découvert que son objectif principal était de collecter des données sensibles des appareils infectés, espionnant les utilisateurs compromis. CloudMensis utilise le stockage en nuage public comme Dropbox, pCloud et Yandex Disk pour la communication C2, avec pour cibles principales les machines fonctionnant sur des puces Intel ou Apple.

Détecter CloudMensis

Pour aider les utilisateurs individuels et les organisations à mieux protéger leur infrastructure, notre développeur avisé du programme Threat Bounty Onur Atali a récemment publié une règle Sigma qui permet une détection rapide du malware CloudMensis. Les utilisateurs enregistrés peuvent télécharger ces règles depuis la plateforme Detection as Code de SOC Prime :

Détection du Spyware macOS CloudMensis (via file_event)

La détection peut être utilisée sur plus de 20 plateformes SIEM, EDR & XDR, alignées avec le cadre MITRE ATT&CK® v.10, traitant de la tactique d’Exécution avec la technique d’Exécution par l’utilisateur (T1204).

Les experts en cybersécurité sont plus que bienvenus pour rejoindre le programme Threat Bounty pour partager leurs règles Sigma avec la communauté de plus de 28 000 utilisateurs et 600 chercheurs et chasseurs de menaces du Threat Bounty Program, qui contribuent activement par leur propre contenu de détection à la plateforme SOC Prime, tout en recevant des récompenses récurrentes pour leur contribution.

Explorez le référentiel du marché de la détection des menaces de la plateforme SOC Prime en appuyant sur le bouton Detect & Hunt pour identifier rapidement des menaces sophistiquées dans des environnements en pleine expansion. La bibliothèque de contenu de détection de SOC Prime est constamment mise à jour avec de nouveaux contenus, renforcée par l’approche collaborative de défense cybernétique et activée par le modèle Follow the Sun (FTS) pour garantir une livraison rapide des détections pour les menaces critiques. Vous vous efforcez de suivre les dernières tendances façonnant le paysage actuel des menaces cybernétiques et d’explorer le contexte pertinent des menaces ? Essayez le moteur de recherche de SOC Prime ! Appuyez sur le bouton Explore Threat Context pour naviguer instantanément dans le pool des principales menaces et des nouvelles règles Sigma publiées, en explorant les informations contextuelles pertinentes dans une boutique unique.

Detect & Hunt Explore Threat Context

Analyse de CloudMensis

La société de cybersécurité ESET a mis en lumière un spyware auparavant non documenté écrit en langage Objective-C, utilisé pour compromettre les appareils fonctionnant sous le système d’exploitation macOS. La première infection a eu lieu au début de février 2022, suivie de plusieurs autres attaques, indique l’analyse publiée par les chercheurs d’ESET.

Lorsque les hackers obtiennent des privilèges d’administrateur, la charge utile de CloudMensis est déployée en un processus en deux étapes. La première étape se caractérise par le téléchargement et l’exécution de la charge utile principale en tant que démon à l’échelle du système. L’échantillon de malware analysé a permis aux chercheurs d’identifier 39 commandes implémentées, permettant de lancer des processus tels que le démarrage d’une capture d’écran, l’exécution de commandes shell, la récupération et l’exécution de fichiers arbitraires, la modification de valeurs dans les configurations de CloudMensis, la liste des messages électroniques et des fichiers provenant de supports amovibles, etc.

Les acteurs cybernétiques exploitent systématiquement les mauvaises configurations de sécurité et autres mauvaises pratiques d’hygiène cybernétique pour augmenter leur liste de cibles. SOC Prime équipe les professionnels de la sécurité de l’information d’un ensemble d’outils appropriés pour une visibilité de haut niveau sur les menaces existantes et émergentes.