Hackernews 编译,转载请注明出处:
网络安全研究人员揭开了一个此前未被记录的间谍软件的神秘面纱,该软件针对的是Apple macOS操作系统。
这款名为CloudMensis的恶意软件由Slovak网络安全公司ESET开发,据称它专门使用pCloud、Yandex Disk和Dropbox等公共云存储服务来接收攻击者的命令和窃取文件。
CloudMensis是用Objective-C编写的,于2022年4月首次发现,旨在攻击英特尔和苹果的硅架构。攻击和目标的最初感染媒介仍然未知。但其分布非常有限,这表明该恶意软件是针对相关实体的高度针对性行动的一部分。
ESET发现的攻击链滥用代码执行和管理权限来启动第一阶段有效负载,该有效负载用于获取和执行pCloud上托管的第二阶段恶意软件,进而窃取文档、截图和电子邮件附件等。
据悉,第一阶段下载程序还可以清除Safari沙盒逃逸和特权升级漏洞的痕迹,这些漏洞利用了2017年现已解决的四个安全漏洞,这表明CloudMensis可能已经运行了很多年。
该植入软件还具有绕过TCC安全框架的功能,该框架旨在确保所有应用程序在访问文档、下载、桌面、iCloud Drive和网络卷中的文件之前获得用户同意。
它通过利用另一个补丁安全漏洞来实现这一点,该漏洞追踪为CVE-2020-9934,于2020年曝光。后门支持的其他功能包括获取正在运行的进程列表、捕获屏幕截图、列出可移动存储设备中的文件,以及运行shell命令和其他任意有效负载。
此外,对云存储基础设施元数据的分析表明,pCloud账户创建于2022年1月19日, 妥协始于2月4日,在3月份到达顶峰。
消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文