Rilevamento di CloudMensis: Nuovo Malware per Rubare i Dati degli Utenti macOS

[post-views]
Luglio 20, 2022 · 4 min di lettura
Rilevamento di CloudMensis: Nuovo Malware per Rubare i Dati degli Utenti macOS

Il nuovo malware CloudMensis entra in azione con attacchi altamente mirati. I ricercatori devono ancora stabilire le tecniche utilizzate dagli aggressori per ottenere l’accesso iniziale ai dispositivi delle vittime; tuttavia, il piccolo numero di attacchi documentati avvenuti da febbraio indica che il malware CloudMensis è stato distribuito per esfiltrare informazioni come parte di una campagna mirata a un certo e limitato numero di obiettivi – ben lontano dall’essere utilizzato in un approccio meno efficace a spruzzo.

Il malware è apparso sui radar della sicurezza per la prima volta nell’aprile 2022. I ricercatori hanno scoperto che il suo obiettivo principale era raccogliere dati sensibili dai dispositivi infetti, spiando gli utenti compromessi. CloudMensis utilizza archiviazione cloud pubblica come Dropbox, pCloud e Yandex Disk per la comunicazione C2, con i suoi obiettivi chiave che sono le macchine che funzionano su chip Intel o Apple.

Rileva CloudMensis

Per aiutare singoli utenti e organizzazioni a proteggere meglio la loro infrastruttura, il nostro esperto sviluppatore di Threat Bounty Onur Atali ha recentemente rilasciato una regola Sigma che consente la rapida rilevazione del malware CloudMensis. Gli utenti registrati possono scaricare queste regole dalla piattaforma Detection as Code di SOC Prime:

CloudMensis macOS Spyware Detect (via file_event)

La rilevazione può essere utilizzata su oltre 20 piattaforme SIEM, EDR e XDR, allineate con il framework MITRE ATT&CK® v.10, affrontando la tattica di Esecuzione con la tecnica User Execution (T1204).

Gli esperti di cybersecurity sono più che benvenuti a unirsi al Threat Bounty Program per condividere le loro regole Sigma con la comunità di oltre 28.000 utenti e 600 ricercatori del Threat Bounty Program e cacciatori di minacce, che contribuiscono attivamente con i loro contenuti di rilevazione alla piattaforma SOC Prime ricevendo ricompense ricorrenti per il loro contributo.

Esplora il repository del Threat Detection Marketplace della piattaforma SOC Prime premendo il pulsante Detect & Hunt per identificare rapidamente minacce sofisticate in ambienti in rapida espansione. La libreria di contenuti di rilevazione di SOC Prime è costantemente aggiornata con nuovi contenuti, potenziata dall’approccio collaborativo di cyber difesa e abilitata dal modello Follow the Sun (FTS) per garantire la consegna tempestiva delle rilevazioni per le minacce critiche. Vuoi tenerti al passo con le ultime tendenze che modellano l’attuale panorama delle minacce informatiche e approfondire il contesto delle minacce pertinenti? Prova il motore di ricerca di SOC Prime! Premi il pulsante Explore Threat Context per navigare istantaneamente nel pool delle principali minacce e nuove regole Sigma rilasciate, esplorando informazioni contestuali pertinenti in un unico punto.

pulsante Detect & Hunt pulsante Explore Threat Context

Analisi di CloudMensis

La società di cybersecurity ESET ha messo in evidenza un software spyware precedentemente non documentato scritto in linguaggio Objective-C, utilizzato per compromettere dispositivi che funzionano sul sistema operativo macOS. La prima infezione è avvenuta nei primi di febbraio 2022, con ulteriori attacchi successivi, si legge nell’analisi pubblicata dai ricercatori di ESET.

Quando gli hacker ottengono privilegi amministrativi, il payload CloudMensis viene distribuito in un processo a due fasi. La prima fase è caratterizzata dal download e dall’esecuzione del payload principale come demone a livello di sistema. Il campione di malware analizzato ha permesso ai ricercatori di identificare 39 comandi implementati, permettendo di avviare processi come avviare una cattura dello schermo, eseguire comandi shell, scaricare ed eseguire file arbitrari, modificare i valori nei file di configurazione di CloudMensis, elencare messaggi di posta elettronica e file da storage removibile, ecc.

Gli attori del cyberspazio sfruttano abitualmente configurazioni di sicurezza carenti e altre cattive pratiche di igiene informatica per aumentare il loro elenco di obiettivi. SOC Prime fornisce ai professionisti della sicurezza informatica un set di strumenti adeguato per una visibilità di alto livello sulle minacce esistenti ed emergenti.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Intelligenza Artificiale nella Cyber Threat Intelligence 17 min di lettura SIEM & EDR Intelligenza Artificiale nella Cyber Threat Intelligence by Veronika Telychko SOC Prime annuncia il programma di referral per i singoli difensori informatici 4 min di lettura Piattaforma SOC Prime SOC Prime annuncia il programma di referral per i singoli difensori informatici by Daryna Olyniychuk Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 4 min di lettura Ultime Minacce Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 by Veronika Telychko
Tutte le notizie