來自網絡安全公司ESET的研究團隊近日發現一種新型macOS惡意程序CloudMensis,一旦Mac設備感染就會安插後門,用於滲透本地網絡、記錄鍵盤敲擊、查看文檔和屏幕截圖,竊取重要敏感信息。該惡意軟件甚至可以從已經刪除的存儲中恢復電子郵件、附件和相關文件。
CloudMensis 惡意軟件會將這些資料上傳到 pCloud、Yandex Disk 和 Dropbox 這樣的公共雲存儲系統,以便於攻擊者後續使用。ESET 發現這些上傳的文件會自動按照月份和受害者名稱進行命名排序。
安全專傢發現首個受 CloudMensis 攻擊的 Mac 設備可以追溯到 2022 年 2 月 4 日,這表明這是針對 Mac 設備的新型惡意軟件。現階段該惡意軟件的分發還比較有限,不過它們的目標更加明確。
目前調查顯示該惡意軟件並未使用零日漏洞,而是使用此前已經曝光的漏洞來繞過 macOS 保護。因此 Mac 用戶升級到最新版本就可以抵禦該惡意軟件的侵擾。
一旦設備感染 CloudMensis,就會嘗試執行代碼獲得系統管理員權限。接下來該惡意軟件就會進入第二階段,CloudMensis 會運行大約 39 條命令,收集感染設備上的數據。
研究者 Marc-Etienne Leveille 表示:“目前我們不知道 CloudMensis 在初期是如何傳播的,也不知道它的主要攻擊目標。不過從代碼質量和缺少模糊操作表明,這位惡意軟件的開發者並不熟悉 Mac 的開發也不是資深的 Mac 開發者”。