Uma campanha de contaminação direcionada está atingindo usuários de Mac, com foco no roubo de dados e na abertura de novas portas de entrada para contaminação. O vírus da vez é o CloudMensis, que chega a partir de serviços cloud legítimos e também os utiliza para comunicação com servidores de comando, de onde recebe instruções dos criminosos para a realização de novas ações.

A praga foi descoberta em abril pelos pesquisadores em segurança digital da ESET, mas estaria circulando desde fevereiro deste ano. O que chamou a atenção dos especialistas é o baixo número de contaminações, com a backdoor sendo usada de forma esporádica e sempre com foco na contaminação de sistemas com macOS; isso dificultou o reconhecimento do vetor inicial de intrusão, com mensagens e e-mails de phishing sempre surgindo como uma possibilidade.

Seja como for, o CloudMensis aparece como uma ameaça altamente sofisticada, sendo capaz de ler mensagens, capturar imagens da tela, baixar e executar novas pragas, deletar ou enviar arquivos aos criminosos e listar apps funcionando no computador, entre diferentes outras capacidades. As atividades de espionagem e roubo de dados parecem ser as principais desta campanha, ainda que o objetivo exato seja desconhecido.

Vírus usam serviços de armazenamento
Serviços como Dropbox, Yandex Disk e pCloud são usados como base para a campanha maliciosa, enquanto uma análise do código-fonte da praga mostrou uma campanha ainda incipiente. De acordo com a ESET, a qualidade da programação mostra que os criminosos ainda estão aprendendo a lidar com o desenvolvimento no macOS e, por mais que o vírus já seja eficaz em suas tarefas, ele ainda carece de um pouco de sofisticação, algo que também pode explicar porque ele foi pouco usado até agora.

Ainda assim, ele é capaz de ultrapassar proteções contra capturas indevidas de tela e acesso a dados no Mac, explorando vulnerabilidades para realizar alterações no sistema operacional caso tais recursos estejam ativados, o que é padrão na plataforma. A brecha em questão foi corrigida há cerca de dois anos, o que demonstra a necessidade de atualização do parque e aplicação de updates com urgência pelos usuários.

Brechas em outros softwares e dispositivos também podem ser usadas para intrusão, mas os pesquisadores da ESET afirmam não existir vulnerabilidades dia-zero em uso pelo CloudMensis. Sendo assim, a recomendação aos usuários é para que atualizem seus dispositivos o mais rapidamente possível e mantenham controles de privacidade e permissões ativos, de forma que, em caso de infecção, seja possível detectar o comprometimento e impedir que o vírus comece a agir. Aos administradores de rede, a empresa de segurança também divulgou detalhes técnicos e indicadores de comprometimento.