专家发现针对 Apple macOS 用户的新 CloudMensis 间谍软件

Hackernews 编译，转载请注明出处：

网络安全研究人员揭开了一个此前未被记录的间谍软件的神秘面纱，该软件针对的是Apple macOS操作系统。

这款名为CloudMensis的恶意软件由Slovak网络安全公司ESET开发，据称它专门使用pCloud、Yandex Disk和Dropbox等公共云存储服务来接收攻击者的命令和窃取文件。

CloudMensis是用Objective-C编写的，于2022年4月首次发现，旨在攻击英特尔和苹果的硅架构。攻击和目标的最初感染媒介仍然未知。但其分布非常有限，这表明该恶意软件是针对相关实体的高度针对性行动的一部分。

ESET发现的攻击链滥用代码执行和管理权限来启动第一阶段有效负载，该有效负载用于获取和执行pCloud上托管的第二阶段恶意软件，进而窃取文档、截图和电子邮件附件等。

据悉，第一阶段下载程序还可以清除Safari沙盒逃逸和特权升级漏洞的痕迹，这些漏洞利用了2017年现已解决的四个安全漏洞，这表明CloudMensis可能已经运行了很多年。

该植入软件还具有绕过TCC安全框架的功能，该框架旨在确保所有应用程序在访问文档、下载、桌面、iCloud Drive和网络卷中的文件之前获得用户同意。

它通过利用另一个补丁安全漏洞来实现这一点，该漏洞追踪为CVE-2020-9934，于2020年曝光。后门支持的其他功能包括获取正在运行的进程列表、捕获屏幕截图、列出可移动存储设备中的文件，以及运行shell命令和其他任意有效负载。

此外，对云存储基础设施元数据的分析表明，pCloud账户创建于2022年1月19日， 妥协始于2月4日，在3月份到达顶峰。

消息来源：TheHackerNews，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文