标签: CloudMensis

专家发现针对 Apple macOS 用户的新 CloudMensis 间谍软件

Hackernews 编译,转载请注明出处: 网络安全研究人员揭开了一个此前未被记录的间谍软件的神秘面纱,该软件针对的是Apple macOS操作系统。 这款名为CloudMensis的恶意软件由Slovak网络安全公司ESET开发,据称它专门使用pCloud、Yandex Disk和Dropbox等公共云存储服务来接收攻击者的命令和窃取文件。 CloudMensis是用Objective-C编写的,于2022年4月首次发现,旨在攻击英特尔和苹果的硅架构。攻击和目标的最初感染媒介仍然未知。但其分布非常有限,这表明该恶意软件是针对相关实体的高度针对性行动的一部分。 ESET发现的攻击链滥用代码执行和管理权限来启动第一阶段有效负载,该有效负载用于获取和执行pCloud上托管的第二阶段恶意软件,进而窃取文档、截图和电子邮件附件等。 据悉,第一阶段下载程序还可以清除Safari沙盒逃逸和特权升级漏洞的痕迹,这些漏洞利用了2017年现已解决的四个安全漏洞,这表明CloudMensis可能已经运行了很多年。 该植入软件还具有绕过TCC安全框架的功能,该框架旨在确保所有应用程序在访问文档、下载、桌面、iCloud Drive和网络卷中的文件之前获得用户同意。 它通过利用另一个补丁安全漏洞来实现这一点,该漏洞追踪为CVE-2020-9934,于2020年曝光。后门支持的其他功能包括获取正在运行的进程列表、捕获屏幕截图、列出可移动存储设备中的文件,以及运行shell命令和其他任意有效负载。 此外,对云存储基础设施元数据的分析表明,pCloud账户创建于2022年1月19日, 妥协始于2月4日,在3月份到达顶峰。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文