CloudMensis — новый сложный шпион, атакующий пользователей macOS

CloudMensis — новый сложный шпион, атакующий пользователей macOS

CloudMensis — новый сложный шпион, атакующий пользователей macOS

Специалисты словацкой антивирусной компании ESET рассказали о шпионской программе, созданной специально для атак на пользователей macOS. Ранее этот вредонос нигде не упоминался. Шпионский софт получил имя CloudMensis, его отличает использование облачных хранилищ pCloud, Yandex Disk и Dropbox для получения команд от оператора и загрузки файлов.

«Функциональные возможности шпиона ясно дают понять, что задача злоумышленников — собрать побольше информации. Зловред крадет документы, фиксирует нажатия клавиш и снимает скриншоты», — объясняют в ESET.

CloudMensis написан на Objective-C и впервые был обнаружен в апреле 2022 года. Интересно, что авторы шпиона заточили свое детище как под Mac-устройства, работающие на процессорах Intel, так и под собственный CPU Apple — M1. Изначальный вектор заражения жертв на данный момент неизвестен.

В ходе атак, за которыми наблюдала ESET, использовалась некая брешь для выполнения кода и повышения прав до уровня администратора. Именно так запускался первый пейлоад, который выполнял уже вторую вредоносную нагрузку, хранящуюся в pCloud.

 

Кроме того, изначальный загрузчик задействует эксплойты для старых уязвимостей обхода песочницы Safari и повышения привилегий. Поскольку эти бреши устранили ещё в 2017 году, шпион мог все это время оставаться вне поля зрения экспертов.

Вредоносная программа также обходит защитные механизмы macOS, контролирующие права доступа к определенным директориям. Для этого используется баг CVE-2020-9934, о котором стало известно в 2020 году.

Шпионский софт может получать список запущенных процессов, запускать шелл-команды и другие пейлоады, а также составлять список файлов, хранящихся на подключенных накопителях.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Indeed AM 9.3 получила автоустановку и поддержку FreeIPA

Компания «Индид» представила обновление Indeed Access Manager 9.3 (Indeed AM) — системы для централизованного управления доступом и учётными записями. В новой версии появилась автоматическая установка, поддержка FreeIPA, а также два новых модуля — Indeed AM Linux Logon и Indeed AM LDAP Proxy.

Быстрая установка и настройка

Главное изменение — мастер конфигурации, который помогает автоматизировать установку и настройку Indeed AM. Он предлагает типовые параметры по умолчанию и проверяет корректность действий на каждом этапе. Это упрощает развёртывание системы и снижает риск ошибок.

Работа в Linux и импортонезависимая среда

Для пользователей, работающих в Linux, добавлен модуль Indeed AM Linux Logon, который обеспечивает двухфакторную аутентификацию. Он интегрируется с библиотекой Pluggable Authentication Modules (PAM) и поддерживает различные сценарии входа — локальный логин, разблокировку, SSH, SU, RDP и другие.

Кроме того, в систему добавлена поддержка каталога пользователей FreeIPA — аналога Active Directory для Linux. Это позволяет администраторам управлять пользователями без зависимости от инфраструктуры Microsoft.

Новый модуль LDAP Proxy

Модуль Indeed AM LDAP Proxy предназначен для организации двухфакторной аутентификации в приложениях, использующих LDAP-протокол. Он позволяет настраивать тайм-ауты и время подтверждения пуш-аутентификации, ведёт лог событий и обеспечивает взаимную аутентификацию между LDAP-сервером и клиентом. Это повышает безопасность при локальных и удалённых подключениях.

Разработчики отмечают, что цель обновления — упростить настройку и повысить гибкость управления доступом, особенно в средах, где используются отечественные и открытые технологии.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru