一种新发现的针对 Mac的恶意软件在获取系统访问权限和窃取敏感数据方面非常有效。
互联网安全公司 ESET 详细介绍了这一发现,该公司将恶意软件命名为 CloudMensis,因为它依赖于云存储服务。
据 Bleeping Computer和PCMag报道,该恶意软件可以在用户不知情的情况下成功截取用户系统的屏幕截图,此外还可以注册击键、获取文件和文档(甚至从可移动存储设备中),以及列出电子邮件消息和附件。
CloudMensis 最初于 2022 年 4 月被 ESET 检测到。它利用 pCloud、Yandex Disk 和 Dropbox 来执行命令和控制 (C2) 通信。
该恶意软件相当先进,因为它提供了执行大量恶意命令的能力,例如查看正在运行的进程、“运行 shell 命令并将输出上传到云存储”以及下载和打开任意文件。
虽然 CloudMensis 现已被发现,但恶意软件攻击背后的身份仍然未知。
“我们仍然不知道 CloudMensis 最初是如何分布的以及目标是谁,”ESET 研究员 Marc-Etienne Léveillé 说。 “代码的一般质量和缺乏混淆表明作者可能对 Mac 开发不是很熟悉,也不是那么先进。尽管如此,我们还是投入了大量资源使 CloudMensis 成为强大的间谍工具并对潜在目标构成威胁。”
ESET 的分析显示,攻击者在 2022 年 2 月 4 日成功渗透了他们的第一个 Mac 目标。有趣的是,CloudMensis 只被使用过几次来感染目标。此外,据 Bleeping Computer 称,黑客的 Objective-C 编码能力表明他们并不精通 MacOS 平台。
当 ESET 检查与 CloudMensis 关联的云存储地址时,来自云驱动器的相应元数据显示,从 2022 年 2 月 4 日到 2022 年 4 月,“最多有 51 个受害者”。
一旦恶意软件在 Mac 系统上执行,CloudMensis 就能够完全避开 Apple 的 MacOS Transparency Consent and Control (TCC) 系统而不被发现。此功能会提醒用户注意一个窗口,他们需要在该窗口中为执行屏幕捕获或监视键盘事件的应用授予特定权限。
通过避免 TCC,CloudMensis 可以随后查看 Mac 的屏幕和相关活动,以及扫描可移动存储设备。
无论如何,如果恶意软件能够相对轻松地绕过 Mac 自己的安全措施,那么它显然更加复杂。暴露的不仅仅是 Mac——PCMag 强调了恶意软件的计算代码如何确认它也可以渗透到英特尔驱动的系统中。
“CloudMensis 对 Mac 用户构成威胁,但其非常有限的分布表明它被用作目标操作的一部分,”ESET 说。 “与此同时,在我们的研究过程中,没有发现该小组使用了未公开的漏洞(零日漏洞)。因此,建议运行最新的 Mac,至少可以避免绕过缓解措施。”
如果您拥有 Mac 并想要检查病毒和恶意软件,请务必查看我们的指南,了解如何检查。