Spyware CloudMensis Susupi macOS
Kabar mengejutkan datang dari Apple, spyware CloudMensis susupi macOS, memata-matai penggunanya lalu mencuri data mereka.
CloudMensis ditemukan oleh peneliti ESET pada April 2022 sebagai backdoor macOS yang sebelumnya tidak dikenal, yang secara eksklusif menggunakan layanan penyimpanan cloud publik pCloud, Yandex Disk, dan Dropbox untuk berkomunikasi bolak-balik dengan operatornya.
Kemampuannya dengan jelas menunjukkan bahwa pelaku bermaksud mengumpulkan informasi dari Mac korban dengan mengekstrak dokumen, penekanan tombol, dan tangkapan layar.
Apple juga mengakui keberadaan spyware yang menargetkan pengguna produknya dan sedang meninjau ulang Mode Penguncian di iOS, iPadOS, dan macOS, yang menonaktifkan fitur yang sering dieksploitasi untuk mendapatkan eksekusi kode dan menyebarkan malware.
|
Baca juga: Spyware 101 |
Fitur-fitur CloudMensis
Kemampuan CloudMensis dengan jelas menunjukkan bahwa tujuan utama operatornya adalah mengumpulkan informasi sensitif dari Mac yang terinfeksi melalui berbagai cara.
Ini termasuk tangkapan layar, eksfiltrasi dokumen dan penekanan tombol, serta daftar pesan email, lampiran, dan file yang disimpan dari penyimpanan yang dapat dilepas.
Malware ini hadir dengan dukungan lusinan perintah, memungkinkan operatornya melakukan banyak hal pada Mac yang terinfeksi, sebagai berikut:
- Ubah value dalam konfigurasi CloudMensis: penyedia penyimpanan cloud dan token otentikasi, ekstensi file yang dianggap menarik, frekuensi polling penyimpanan cloud, dll.
- Daftar proses yang berjalan
- Mulai tangkapan layar
- Daftar pesan email dan lampiran
- Daftar file dari penyimpanan yang dapat dilepas
- Jalankan perintah shell dan unggah hasilnya ke penyimpanan cloud
- Unduh dan jalankan file arbitrary
|
Baca juga: Segala Hal Tentang Spyware |
Bertarget tapi kurang canggih
Sejak menginfeksi Mac pertama dengan CloudMensis pada 4 Februari 2022, mereka hanya secara sporadis menggunakan backdoor untuk menargetkan dan membahayakan Mac lain, mengisyaratkan sifat kampanye yang sangat bertarget.
Vektor infeksi tidak diketahui, dan kemampuan pengkodean Objective-C pelaku menunjukkan bahwa mereka tidak terbiasa dengan platform macOS.
“Kami masih belum tahu bagaimana CloudMensis awalnya didistribusikan dan siapa targetnya,” kata peneliti ESET Marc-Etienne Léveillé.
“Kualitas umum dari kode dan kurangnya penyamaran menunjukkan pelaku mungkin tidak terlalu akrab dengan pengembangan Mac dan tidak begitu canggih.
“Meskipun demikian, banyak sumber daya dimasukkan untuk menjadikan CloudMensis alat mata-mata yang kuat dan ancaman bagi target potensial.”
Bypass perlindungan privasi
Setelah menyusup di Mac, CloudMensis kemudian melakukan bypass sistem Transparency Consent and Control (TCC) macOS.
Sistem ini meminta pengguna untuk memberikan izin kepada aplikasi untuk mengambil tangkapan layar atau memantau aktivitas keyboard.
TCC dirancang untuk memblokir aplikasi macOS mengakses data pengguna yang sensitif dengan memungkinkan pengguna macOS mengonfigurasi pengaturan privasi untuk aplikasi yang diinstal pada sistem dan perangkat mereka yang terhubung ke Mac mereka, termasuk mikrofon dan kamera.
|
Baca juga: Mitigasi Spyware |
System Integrity Protection
Aturan yang dibuat oleh setiap pengguna disimpan dalam database di Mac yang dilindungi oleh System Integrity Protection (SIP).
SIP kadang disebut rootless adalah fitur keamanan sistem operasi macOS Apple juga memastikan bahwa hanya daemon TCC yang dapat memodifikasinya.
Jika pengguna menonaktifkan SIP pada sistem, CloudMensis akan memberikan dirinya sendiri izin dengan menambahkan aturan baru ke file TCC.db.
Namun, jika SIP diaktifkan tetapi Mac menjalankan versi apa pun dari macOS Catalina lebih awal dari 10.15.6, CloudMensis akan mengeksploitasi kerentanan untuk membuat daemon TCC (tccd) memuat database tempat CloudMensis dapat menulis.
Kerentanan yang digunakannya, dalam hal ini, adalah bug CoreFoundation yang dilacak sebagai CVE-2020–9934 dan ditambal oleh Apple dua tahun lalu.
Sementara ESET hanya melihat malware ini menyalahgunakan kelemahan ini di dunia maya, para pelaku tidak kekurangan cara untuk melewati TCC, melihat bahwa Apple juga baru-baru ini mengatasi bug yang menyebabkan dampak serupa.
“Penggunaan kerentanan untuk mengatasi mitigasi macOS menunjukkan bahwa operator malware secara aktif berusaha memaksimalkan keberhasilan operasi mata-mata mereka,” ESET menyimpulkan.
“Pada saat yang sama, tidak ada kerentanan zero days yang ditemukan digunakan oleh kelompok ini selama penelitian. Dengan demikian, menjalankan Mac terbaru disarankan untuk menghindari, setidaknya, bypass mitigasi.” Tambah ESET.
informasi mengenai spyware CloudMensis susupi macOS di atas merupakan hasil riset para penelti keamanan ESET. Semoga dapat bermanfaat!
|
Baca lainnya: |
Sumber berita:
