Detecção do CloudMensis: Novo Malware para Roubar Dados de Usuários do macOS
Índice:
Novo malware CloudMensis entra em ação com ataques altamente direcionados. Pesquisadores ainda não estabeleceram as técnicas que os atacantes usaram para obter acesso inicial aos dispositivos das vítimas; no entanto, o pequeno número de ataques documentados desde fevereiro indica que o malware CloudMensis foi implantado para exfiltrar informações como parte de uma campanha direcionada a um determinado e limitado número de alvos – longe de ser usada em uma abordagem menos eficaz de spray-and-pray.
O malware apareceu pela primeira vez nos radares de segurança em abril de 2022. Pesquisadores descobriram que seu principal objetivo era coletar dados sensíveis de dispositivos infectados, espionando usuários comprometidos. CloudMensis usa armazenamento em nuvem pública como Dropbox, pCloud e Yandex Disk para comunicação C2, com seus principais alvos sendo máquinas que operam com chips Intel ou Apple.
Detectar CloudMensis
Para ajudar usuários individuais e organizações a proteger melhor sua infraestrutura, nosso atento desenvolvedor do Threat Bounty Onur Atali recentemente lançou uma regra Sigma que permite rápida detecção do malware CloudMensis. Usuários registrados podem baixar essas regras da plataforma Detection as Code da SOC Prime:
Detecção de Spyware CloudMensis macOS (via file_event)
A detecção pode ser usada em mais de 20 plataformas SIEM, EDR e XDR, alinhada com o framework MITRE ATT&CK® v.10, abordando a tática de Execução com a técnica Execução pelo Usuário (T1204).
Especialistas em cibersegurança são mais que bem-vindos para se juntarem ao Programa Threat Bounty para compartilhar suas regras Sigma com a comunidade de mais de 28.000 usuários e 600 pesquisadores e caçadores de ameaças do Programa Threat Bounty, que contribuem ativamente com seu próprio conteúdo de detecção para a Plataforma SOC Prime enquanto recebem recompensas recorrentes por suas contribuições.
Explore o repositório do Threat Detection Marketplace da Plataforma SOC Prime clicando no botão Detectar & Caçar para identificar rapidamente ameaças sofisticadas em ambientes que se expandem rapidamente. A biblioteca de conteúdos de detecção da SOC Prime é constantemente atualizada com novos conteúdos, apoiada pela abordagem colaborativa de defesa cibernética e habilitada pelo modelo Follow the Sun (FTS) para garantir a entrega oportuna de detecções para ameaças críticas. Deseja acompanhar as últimas tendências que moldam o atual cenário de ameaças cibernéticas e mergulhar no contexto relevante das ameaças? Experimente o mecanismo de pesquisa da SOC Prime! Pressione o botão Explore o Contexto da Ameaça para navegar instantaneamente pelo conjunto das principais ameaças e novas regras Sigma lançadas, explorando informações contextuais relevantes em um único lugar.
Detectar & Caçar Explore o Contexto da Ameaça
Análise do CloudMensis
A empresa de cibersegurança ESET destacou um spyware anteriormente não documentado, escrito na linguagem Objective-C, usado para comprometer dispositivos que executam o sistema operacional macOS. A primeira infecção ocorreu no início de fevereiro de 2022, com mais ataques se seguindo, de acordo com a análise publicada pelos pesquisadores da ESET.
Quando hackers obtêm privilégios administrativos, o payload do CloudMensis é implantado em um processo de duas etapas. A primeira etapa é caracterizada pelo download e execução do payload principal como um daemon em todo o sistema. A amostra de malware analisada permitiu que os pesquisadores identificassem 39 comandos implementados, permitindo iniciar processos como captura de tela, execução de comandos de shell, obtenção e execução de arquivos arbitrários, alteração de valores nas configurações do CloudMensis, listagem de mensagens de email e arquivos do armazenamento removível, etc.
Os cibercriminosos rotineiramente exploram configurações de segurança inadequadas e outras práticas deficientes de higiene cibernética para aumentar sua lista de alvos. SOC Prime equipam os profissionais de segurança da informação com um conjunto de ferramentas adequadas para uma visibilidade de alto nível sobre ameaças existentes e emergentes.
