به گزارش کارگروه امنیت سایبربان؛ بازیگران مخرب نا شناخته ای در حال استفاده از بدافزار پیش از این نا شناخته ای برای ایجاد در پشتی در دستگاه های مک او اس و انتقال غیر مجاز داده ها می باشند.
محققین ESET اولین بار این بدافزار جدید را در آوریل 2022 شناسایی کردند و به دلیل استفاده این بدافزار از پی کلود، یاندکس دیسک و سرویس های ذخیره سازی ابری دراپ باکس برای ارتباط با کنترل و فرمان، نام آن را CloudMensis (کلود مِنسیس) گذاشته اند.
قابلیت های کلود منسیس به وضوح حاکی از آن است که هدف اصلی عاملین این بدافزار، جمع آوری اطلاعات حساس از مَک های آلوده است.
این اطلاعات شامل اسکرین شات، سرقت اسناد و ضربات کلید و لیست کردن پیام های ایمیل، ضمیمه ها و فایل های بایگانی شده از فضای ذخیره سازی قابل جدا شدن است.
این بدافزار از فرمان های زیادی پشتیبانی می کند و این امکان را به عاملین می دهد تا لیست بلندی از فعالیت ها را بر روی مک های آلوده اجرا کنند. از جمله این فرمان های می توان به موارد زیر اشاره کرد:
- تغییر Value در پیکربندی کلود منسیس
- لیست کردن فرآیندهای در حال اجرا
- شروع اسکرین شات
- لیست کردن پیام های ایمیل ها و ضمایم آن ها
- لیست کردن فایل ها از ذخیره ساز جدا شدنی
- اجرای فرمان های شِل و آپلود داده خروجی بر روی ذخیره ساز ابری
- دانلود و اجرای فایل های دلخواه
طبق مشاهدات محققین، مهاجمین اولین مک را در 4 فوریه 2022 آلوده به کلود منسیس کردند. عاملین کلود منسیس با استفاده از این در پشتی دیگر مک ها را نیز مورد هدف قرار می دهند.
هنوز محور آلودگی شناسایی نشده است.
کیفیت و توانایی های کدینگ این گروه نشان از آن دارد که آن ها احتمالا زیاد با پلتفرم و توسعه مک آشنا نیستند و در نتیجه نمی توان آن ها را یک گروه هکری پیشرفته خواند.
اما ظاهرا تلاش های زیادی برای تبدیل کردن کلود منسیس به یک ابزار جاسوسی قدرتمند صورت گرفته است.
